Česká pojišťovna a.s.
Inspektorka Úřadu provedla ve dnech 16. ledna 2015 – 29. dubna 2015 kontrolu České pojišťovny a.s. (dále také „Pojišťovna“). Kontrola byla provedena na základě anonymního podnětu, a to dle zákona č. 101/2000 Sb. a zákona č. 552/1991 Sb., o státní kontrole, ve znění pozdějších předpisů. Předmětem kontroly bylo dodržování povinností správce osobních údajů stanovených v § 13 odst. 1, 2 a 4 zákona č. 101/2000 Sb. a § 6 zákona č. 101/2000 Sb., v souvislosti se zpracováním osobních údajů klientů České pojišťovny a.s. se zvláštním zaměřením na zasílání dokumentů klientům. Stěžovatelka ve svém podnětu uvedla, že v rámci řízení o pojistném plnění Pojišťovna zaslala spolu s dokumentem o vyřízení její záležitosti dokumenty s „vyrozuměními pro lidi z celé ČR, které obsahovaly jména, adresy, rodná čísla, čísla smluv.“
Dokumenty Pojišťovny, které nebyly určeny Stěžovatelce, tato zaslala Úřadu, jako důkaz svého tvrzení. Úřadem bylo zjištěno, že ve svazku bylo 238 zásilek (dopisů) klientům Pojišťovny v celkovém počtu 608 listů formátu A4, týkajících se životního pojištění. Dle číslování v záhlaví jednotlivých listů tvořily zásilky souvislou řadu s datem odeslání 28. až 30. listopadu 2014.
Na zásilkách byly uvedeny údaje v rozsahu: jméno a příjmení pojištěného, rodné číslo pojištěného, číslo pojistné smlouvy, číslo pojistné události a datum úrazu, jméno a příjmení adresáta (adresátem může být např. zákonný zástupce pojištěného), adresa (PSČ, obec, ulice, číslo popisné / číslo orientační). Na zásilkách „Informace o výplatě pojistného plnění“ je uvedeno číslo účtu pro vyplacení pojistné částky a dále v části „Výpočet pojistného plnění“ kód lékařem stanovené diagnózy a popis utrpěného úrazu.
V průběhu kontroly bylo zjištěno, že nesprávně bylo Pojišťovnou odesláno celkem 9 zásilek, které obsahovaly dopisy určené jiným klientům. Celý „balík dopisů“ byl v rámci procesu odesílání korespondence vložen do jedné obálky adresované konkrétnímu klientovi a následně doručen. Celkem bylo zpětně dokumentováno, že 9 zásilek obsahovalo cca 1000 dopisů. Pojišťovna neprodleně identifikovala všech 9 adresátů, které kontaktovala a v osmi případech obdržela nesprávně odeslané zásilky zpět. V jednom případě zpět zásilky nedostala. Jedná se zřejmě o zásilky, které byly doručeny Úřadu. Následně byly jednotlivé dopisy Pojišťovnou znovu zaslány klientům – adresátům.
Současně Pojišťovna přijala opatření k tomu, aby se zabránilo opakování této chyby. Jednalo se o okamžitá, střednědobá a dlouhodobá opatření. Okamžitá opatření byla ihned realizována, střednědobá opatření jsou realizována v současné době a dlouhodobá opatření se postupně připravují. Zároveň Pojišťovna sdělila, že oddělení IT připravuje celkovou změnu softwaru, zaměřenou především na kontrolu výstupů korespondence.
K chybnému zaslání dopisů došlo na základě softwarové chyby, která se projevila poté, co pracovníci oddělení IT Pojišťovny stávající software, používaný Pojišťovnou ke generování, tisku, obálkování a distribuci korespondence, rozšířili o novou funkci, která přímo nesouvisela s generováním, tiskem, obálkováním a distribucí korespondence. Jednalo se tedy o chybu při vytváření softwaru.
Kontrolující inspektorka v Protokolu o kontrole konstatovala, že zásilky obsahovaly osobní údaje klientů Pojišťovny ve smyslu ustanovení § 4 písm. a) zákona č. 101/2000 Sb. V dopisech klientům typu „Informace o výplatě pojistného plnění“ byl v části „Výpočet pojistného plnění“ uveden kód lékařem stanovené diagnózy a popis utrpěného úrazu. Ve smyslu ustanovení § 4 písm. b) zákona č. 101/2000 Sb. tedy zásilky obsahovaly citlivé údaje klientů Společnosti. Předmětné dopisy klientům Pojišťovny jsou výsledkem řady automatických i manuálních operací, během kterých byly k pojistné události přiřazeny další údaje z jednoho či více informačních systémů (databází) Společnosti, tyto údaje pak byly zformátovány do formy vlastního dopisu, vytištěny a zaobálkovány k odeslání, ve smyslu ustanovení § 4 písm. e) zákona č. 101/2000 Sb. se tedy jednalo o zpracování osobních údajů klientů Pojišťovny.
Předmětem činnosti Pojišťovny jsou různé formy pojištění klientů, včetně životního pojištění, které bylo předmětem dopisů klientům. Pro naplnění tohoto účelu využívá Pojišťovna jednak různé zdroje údajů, především pak databázi klientů, jednak technické prostředky ve formě informačních systémů. Stanovenými automatizovanými i manuálními procesy a postupy jsou pak zpracovávány požadavky klientů Pojišťovny. Pojišťovna je tedy ve smyslu ustanovení § 4 písm. j) zákona č. 101/2000 Sb. správcem osobních údajů klientů Společnosti. Pro zajištění plynulosti zpracování a obchodních procesů, ať již z důvodů kapacitních nebo řešení mimořádných událostí, má Pojišťovna uzavřeny smlouvy s dalšími subjekty. Tyto smlouvy mají náležitosti požadované ustanovením § 6 zákona č. 101/2000 Sb., Pojišťovna splňuje požadavky tohoto ustanovení.
Souhrou nejméně dvou chyb při zavádění nové verze části aplikačního programového vybavení do rutinního provozu a nezohledněním jeho nových funkcionalit v testovacích scénářích došlo k odeslání cca 1000 dopisů, původně určených klientům Pojišťovny, 9 neoprávněným adresátům. Tím bylo způsobeno zpřístupnění osobních a v části i citlivých údajů klientů Společnosti, v části případů i osobních údajů třetích osob, např. zákonných zástupců pojištěnců, neoprávněným příjemcům. Pojišťovna tedy porušila ustanovení § 13 odst. 1 zákona č. 101/2000 Sb., dle kterého „Správce a zpracovatel jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů“.
Vzhledem k tomu, že Pojišťovna již v průběhu kontroly přijala technicko-organizační opatření k nápravě v kontrolované věci a opatření se jevila jako dostatečná, rozhodla inspektorka Úřadu nezahájit správní řízení dle ustanovení § 40 zákona č. 101/2000 Sb. o uložení opatření k nápravě.
Následně byla věc postoupena oddělení správních činností k zahájení správního řízení. Za porušení povinnosti stanovené v § 13 odst. 1 zákona č. 101/2000 Sb., čímž spáchala Pojišťovna správní delikt podle § 45 odst. 1 písm. h) zákona č. 101/2000 Sb., byla Pojišťovně v souladu s § 45 odst. 3 zákona č. 101/2000 Sb. uložena pokuta ve výši 250. 000 Kč. Rozhodnutí nabylo právní moci dne 30. července 2015.
Kontrolu řídila inspektorka Jana Rybínová.