Niemiecki organ właściwy do spraw ochrony danych osobowych w Badenii Wirtembergii (Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg – LfDI) nałożył karę na AOK Baden-Württemberg – niemiecki zakład ubezpieczeń zdrowotnych. Kwota jest znaczna – 1 240 000 euro (ok. 5 540 000 zł). Regulator zarzucił ukaranemu naruszenie zasad bezpieczeństwa danych osobowych, które doprowadziło do przetwarzania danych osobowych w celach reklamowych bez zgody osób, których dane dotyczyły. Zakład ubezpieczeń już zapowiedział ulepszenie wdrożonych środków technicznych i organizacyjnych w celu zapewnienia wyższego bezpieczeństwa danych osobowych.
Brak zgody na reklamę
W toku postępowania LfDI ustalił, że ukarany zakład ubezpieczeń organizował w latach 2015 – 2019 różnego rodzaju konkursy, w ramach których pozyskiwał od uczestników ich dane osobowe, w tym m.in. dane kontaktowe oraz informacje o korzystaniu z usług zakładów ubezpieczeń zdrowotnych. Jednym z celów pozyskania tych danych osobowych był zamiar przetwarzania ich w celach reklamowych. AOK podjął określone kroki organizacyjne (m.in. wdrożył wewnętrzne wytyczne oraz przeprowadził szkolenia z zakresu ochrony danych osobowych), które w jego ocenie miały zagwarantować, że dane osobowe uczestników konkursów będą przetwarzane w celach reklamowych, ale jedynie w przypadku, gdy pozyskana została skuteczna zgoda.
Po przeprowadzeniu postępowania wyjaśniającego niemiecki regulator uznał, że środki techniczne i organizacyjne wdrożone przez AOK nie spełniały w tym przypadku wymagań określonych w art. 32 RODO. W efekcie – w jego ocenie – AOK przetwarzał dane osobowe ponad 500 uczestników konkursów w celach reklamowych, bez ich zgody. Organ nadzorczy podkreślił, że naruszenie to nie obejmowało danych ubezpieczeniowych tych osób.
Kara mogła być jeszcze surowsza
Niemiecki organ nadzorczy zwrócił uwagę, że poczynione w sprawie ustalenia częściowo działały na korzyść ukaranego, co – jak można domniemywać – miało wpływ na obniżenie wysokości nałożonej kary. Po ujawnieniu naruszenia AOK niezwłocznie zweryfikował wszystkie procesy przetwarzania danych osobowych, w tym w szczególności dotyczące procedury pozyskiwania zgody. Ulepszył on także środki techniczne i organizacyjne związane z zapewnieniem bezpieczeństwa danych. Na korzyść AOK przemawiać miała również pełna, konstruktywna współpraca z organem nadzorczym na etapie postępowania wyjaśniającego.
Co ciekawe, LfDI określając wysokość kary wziął również pod uwagę, że AOK wchodzi w skład systemu opieki zdrowotnej i jest on ustawowo zobowiązany do poprawy stanu zdrowia ubezpieczonych. Organ nadzorczy podkreślił, że kary nałożone na mocy przepisów RODO muszą być nie tylko skuteczne i odstraszające, ale także proporcjonalne. W jego ocenie, naruszenia stwierdzone w ramach tego postępowania nie miały wpływu na realizację przez AOK ustawowego obowiązku zapewnienie określonych świadczeń na rzecz ubezpieczonych. Regulator zwrócił również uwagę, że ukarany zakład ubezpieczeniowy aktualnie zmaga się z ogromnym wyzwaniem związanym z pandemią koronawirusa. Nie wiadomo jednak jak ten fakt wpłynął na ostateczną wysokość kary nałożonej na AOK.
Jest to dość nietypowe rozstrzygnięcie niemieckiego organu nadzorczego. Wydaje się, że dotyczy ono kwestii przetwarzania danych osobowych w celach reklamowych bez stosownej zgody. W istocie jednak głównym zarzutem skierowanym do ukaranego zakładu ubezpieczeń jest brak odpowiedniego zabezpieczenia danych osobowych, co skutkowało nieprawidłowościami w zakresie pozyskiwania i dalszego wykorzystywania zgód uczestników konkursów na przetwarzanie ich danych osobowych w celach reklamowych. Niezmiernie ciekawe jest również to, że regulator uznał za okoliczność łagodzącą w tej sprawie, że AOK jest podmiotem, który wchodzi w skład systemu opieki zdrowotnej i aktualnie zmaga się z wyzwaniami wynikającymi z pandemii koronawirusa. Wydaje się, że okoliczności te częściowo w ogóle nie są związane z zagadnieniem ochrony danych osobowych, a z pewnością nie są związane z naruszeniem stwierdzonym w ramach przeprowadzonego postępowania (przetwarzanie danych osobowych bez zgody w celach reklamowych).