Prezes Urzędu Ochrony Danych Osobowych (UODO) orzekł nałożył karę finansową dla Link4 Towarzystwo Ubezpieczeń S.A. w Warszawie. Firma została ukarana za naruszenie RODO kwotą 103 752 zł. Powód? Brak zgłoszenia naruszenia ochrony danych osobowych w określonym terminie.
Ujawnienie danych nieuprawnionemu odbiorcy
UODO uzyskał informację o przypadkowym ujawnieniu danych osobowych przez Link4. Osoba trzecia, jako nieuprawniony odbiorca, otrzymała załącznik do wiadomości e-mail potwierdzający przyznanie odszkodowania. Dane, takie jak imię, nazwisko, adres, marka i model samochodu, numer rejestracyjny, numer polisy oraz informacje o szkodzie, zostały niezamierzenie ujawnione.
Przeczytaj także: Zgodność z RODO cały czas musi być priorytetem
Bezskuteczna interwencja
Mimo poinformowania przez osobę trzecią, firma nie udzieliła żadnej odpowiedzi. Administrator tłumaczył, że incydent wynikał z „błędu ludzkiego” i przesyłki do niewłaściwego odbiorcy oraz likwidatora szkody.
Błędna ocena powagi naruszenia
Ubezpieczyciel przeprowadził analizę ryzyka, jak twierdzi, używając metodologii ENISA i darmowego kalkulatora dostępnego online.
Jak poinformował UODO: Analiza wykazała niskie ryzyko dla praw i wolności osoby, której dane dotyczą i na tej podstawie firma odnotowała incydent w wewnętrznym rejestrze administratora, nie informując jednak o zdarzeniu organu nadzorczego. Ze względu na brak takiego zgłoszenia, organ nadzorczy wszczął z urzędu postępowanie administracyjne wobec spółki.
Przeczytaj także: 5 lat RODO w Polsce. Mamy statystyki.
Okoliczności obciążające Link4
UODO nałożył karę, biorąc pod uwagę długi czas trwania naruszenia, umyślność, wcześniejsze naruszenia i brak satysfakcjonującej współpracy z organem nadzorczym. Szczególne obowiązki, nakładane na spółki ubezpieczeniowe, dodatkowo podkreślają powagę zaniedbania.
Urząd podkreślił znaczenie zgłaszania naruszeń niezależnie od ich rzeczywistego wpływu na prawa osób fizycznych. Ryzyko zmaterializowania się takiego naruszenia samo w sobie uzasadnia konieczność powiadomienia organu nadzorczego.
Ocena ryzyka
Organ nadzorczy kluczowo podkreśla, że ocena ryzyka powinna uwzględniać prawa osób dotkniętych naruszeniem, a nie jedynie interesy administratora. Całkowita analiza zdarzenia ma na celu ochronę praw osób fizycznych, których dane zostały naruszone.
„Gruntownie przeprowadzona analiza zdarzenia, w tym uwzględnienie prawdopodobieństwa wystąpienia negatywnych skutków oraz ich doniosłości ma służyć przede wszystkim ochronie praw osób fizycznych, których dotknęło naruszenie i które ostatecznie będą zmuszone ponieść jego, niekiedy bardzo poważne, konsekwencje”.
Potrzebujesz pomocy z oceną naruszenia w Twojej firmie? Skorzystaj z pomocy BPPZ.
Zgłoszenie naruszenia nie tylko informuje organ nadzorczy o incydencie, ale także służy jako narzędzie weryfikacji działań administratora w minimalizowaniu szkód, redukcji ryzyka i unikaniu ponownego wystąpienia naruszenia.
| Redakcja BPPZ.pl