Link4 z surową karą za naruszenie RODO

Prezes Urzędu Ochrony Danych Osobowych nałożył na ubezpieczyciela Link4 karę pieniężną w wysokości 103 752 zł. Powodem jest niezgłoszenie naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia.

Publikacja: 23.11.2023 12:10

Link4 z surową karą za naruszenie RODO

Foto: Adobe Stock

Jak informuje Urząd Ochrony Danych Osobowych, wpłynęła do niego informacja, że nieuprawniona osoba otrzymała e-mail z załącznikiem zawierającym  dokument potwierdzający przyznanie odszkodowania. W nadanej przez Link4 Towarzystwo Ubezpieczeń S.A. wiadomości znalazły się takie dane jak imię, nazwisko, adres do korespondencji, dane wskazujące markę, model, numer rejestracyjny samochodu, a także numer polisy, numer szkody, jej wartość oraz kwota uznanego roszczenia. O otrzymaniu wiadomości odbiorca poinformował Link4, lecz nie otrzymał żadnej odpowiedzi.

Ubezpieczyciel wiedział, ale nie powiedział

W odpowiedzi na pytanie UODO ubezpieczyciel wskazał, że o zdarzeniu wiedział. Jak wyjaśnił, wiadomość została wysłana do nieuprawnionego adresata oraz likwidatora szkody „w wyniku błędu ludzkiego”. Ubezpieczyciel poinformował również, że dokonał analizy ryzyka w oparciu o „rekomendowaną na stronie UODO metodologię ENISA” oraz, dostępny w Internecie, darmowy kalkulator do oceny wagi naruszenia. Analiza wykazała niskie ryzyko dla praw i wolności osoby, której dane dotyczą i dlatego firma odnotowała incydent jedynie w wewnętrznym rejestrze administratora. Nie informowała jednak o zdarzeniu organu nadzorczego, czyli UODO.

Czytaj więcej

Operator Play przegrał w sądzie z UODO ws. kary za Virgin Mobile

Ze względu na brak takiego zgłoszenia, Prezes UODO zdecydował wszcząć z urzędu postępowanie administracyjne wobec spółki, a w jego wyniku nałożyć karę pieniężną. Jak wyjaśnia wziął pod uwagę m.in. następujące okoliczności obciążające: długi czas trwania naruszenia, umyślność naruszenia, stwierdzenie naruszenia przepisów o ochronie danych osobowych w innym postępowaniu toczącym się wobec spółki, niezadowalający poziom współpracy z organem nadzorczym.

- Link4 Towarzystwo Ubezpieczeń S.A. jest podmiotem, na którym ciążą szczególne obowiązki nałożone na mocy art. 35 ust. 1 ustawy z 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej, zgodnie z którym zakład ubezpieczeń i osoby w nim zatrudnione, a także osoby i podmioty, za pomocą których zakład ubezpieczeń wykonuje czynności ubezpieczeniowe, są obowiązane do zachowania tajemnicy dotyczącej poszczególnych umów ubezpieczenia - wskazał PUODO.

Jak oceniać ryzyko dla praw i wolności 

Podkreślił, że przy dokonywaniu oceny pod kątem ryzyka naruszenia praw lub wolności osób fizycznych, od której uzależnione jest zgłoszenie naruszenia, administrator  danych musi  łącznie uwzględnić czynnik prawdopodobieństwa i wagę potencjalnych negatywnych skutków. Organ przypomniał również, że zgłoszenie przez administratora naruszenia ochrony danych osobowych nie może być uzależnione od zaistnienia naruszenia praw lub wolności osób fizycznych. Samo bowiem ryzyko zmaterializowania się takiego naruszenia uzasadnia zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu.

Badając sprawę Link4, PUODO kilkukrotnie podkreślał, że ocena ryzyka naruszenia praw lub wolności osoby fizycznej powinna być dokonywana przez pryzmat osoby, której dane dotyczą, a nie interesów administratora.

- Gruntownie przeprowadzona analiza zdarzenia, w tym uwzględnienie prawdopodobieństwa wystąpienia negatywnych skutków oraz ich doniosłości ma służyć przede wszystkim ochronie praw osób fizycznych, których dotknęło naruszenie i które ostatecznie będą zmuszone ponieść jego, niekiedy bardzo poważne, konsekwencje. Zgłoszenie naruszenia to również bardzo ważne narzędzie weryfikacji, pozwalające ustalić organowi nadzorczemu czy administrator zastosował właściwe środki w celu zaradzenia naruszeniu i zminimalizowania jego negatywnych skutków oraz czy zastosował odpowiednie środki w celu zminimalizowania ryzyka jego ponownego wystąpienia - wskazuje organ nadzorczy w komunikacie.

Jak informuje Urząd Ochrony Danych Osobowych, wpłynęła do niego informacja, że nieuprawniona osoba otrzymała e-mail z załącznikiem zawierającym  dokument potwierdzający przyznanie odszkodowania. W nadanej przez Link4 Towarzystwo Ubezpieczeń S.A. wiadomości znalazły się takie dane jak imię, nazwisko, adres do korespondencji, dane wskazujące markę, model, numer rejestracyjny samochodu, a także numer polisy, numer szkody, jej wartość oraz kwota uznanego roszczenia. O otrzymaniu wiadomości odbiorca poinformował Link4, lecz nie otrzymał żadnej odpowiedzi.

Pozostało 87% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
Nieruchomości
Trybunał: nabyli działkę bez zgody ministra, umowa nieważna
Materiał Promocyjny
Wykup samochodu z leasingu – co warto wiedzieć?
Praca, Emerytury i renty
Czy każdy górnik może mieć górniczą emeryturę? Ważny wyrok SN
Prawo karne
Kłopoty żony Macieja Wąsika. "To represje"
Sądy i trybunały
Czy frankowicze doczekają się uchwały Sądu Najwyższego?
Materiał Promocyjny
Jak kupić oszczędnościowe obligacje skarbowe? Sposobów jest kilka
Sądy i trybunały
Łukasz Piebiak wraca do sądu. Afera hejterska nadal nierozliczona