Prezes Urzędu Ochrony Danych Osobowych nałożył na firmę ubezpieczeniową Link4 sankcję finansową w wysokości 103 752 złotych. Decyzję tę podjęto w związku z nierealizacją obowiązku zgłoszenia naruszenia ochrony danych osobowych w ustalonym terminie, tj. nie później niż w ciągu 72 godzin od stwierdzenia incydentu.
POLECAMY: Sprzedaż długu a RODO
Według informacji dostarczonych do Urzędu Ochrony Danych Osobowych, nieuprawniona osoba otrzymała e-mail zawierający załącznik potwierdzający przyznanie odszkodowania. W treści przesłanej przez Link4 Towarzystwo Ubezpieczeń S.A. wiadomości znalazły się poufne informacje, takie jak imię, nazwisko, adres do korespondencji, dane dotyczące pojazdu (marka, model, numer rejestracyjny), a także numer polisy, numer szkody, wartość szkody oraz kwota przyznanego odszkodowania. Odbiorca zgłosił fakt otrzymania takiej wiadomości Link4, lecz nie otrzymał od firmy żadnej reakcji.
W odpowiedzi na pytanie Urzędu Ochrony Danych Osobowych, ubezpieczyciel przyznał, że był świadomy zaistniałego incydentu. Twierdził, że wiadomość została wysłana do nieuprawnionego adresata oraz likwidatora szkody z powodu „błędu ludzkiego”. Link4 poinformował również, że przeprowadził analizę ryzyka zgodnie z „rekomendowaną metodologią ENISA” i skorzystał z dostępnego publicznie kalkulatora do oceny wagi naruszenia. Mimo że analiza wykazała niskie ryzyko dla praw i wolności osoby, której dane dotyczą, firma jedynie odnotowała incydent w wewnętrznym rejestrze administratora, nie informując jednak o tym organu nadzorczego, czyli Urzędu Ochrony Danych Osobowych.
W związku z brakiem takiego zgłoszenia, Prezes UODO podjął decyzję o wszczęciu postępowania administracyjnego przeciwko firmie ubezpieczeniowej. W trakcie tego postępowania nałożono na Link4 karę pieniężną, a decyzję tę uzasadniono, biorąc pod uwagę długi czas trwania naruszenia, umyślność incydentu, wcześniejsze stwierdzenie naruszenia przepisów o ochronie danych osobowych w innym postępowaniu dotyczącym spółki, oraz niezadowalający poziom współpracy z organem nadzorczym.
– Link4 Towarzystwo Ubezpieczeń S.A. jest podmiotem, na którym ciążą szczególne obowiązki nałożone na mocy art. 35 ust. 1 ustawy z 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej, zgodnie z którym zakład ubezpieczeń i osoby w nim zatrudnione, a także osoby i podmioty, za pomocą których zakład ubezpieczeń wykonuje czynności ubezpieczeniowe, są obowiązane do zachowania tajemnicy dotyczącej poszczególnych umów ubezpieczenia – wskazał PUODO.
Jak oceniać ryzyko dla praw i wolności
Podkreślono, że przy ocenie ryzyka naruszenia praw lub wolności jednostek, od której zależy zgłoszenie incydentu, administrator danych musi uwzględniać zarówno prawdopodobieństwo wystąpienia naruszenia, jak i potencjalne negatywne skutki. Organ nadzoru dodatkowo przypomniał, że zgłoszenie naruszenia ochrony danych osobowych przez administratora nie powinno być warunkowane faktem zaistnienia konkretnego naruszenia praw lub wolności osób fizycznych. Same ryzyko wystąpienia takiego naruszenia stanowi wystarczający powód do zgłoszenia incydentu organowi nadzorczemu.
W kontekście sprawy Link4, Prezes Urzędu Ochrony Danych Osobowych wielokrotnie podkreślał, że ocena ryzyka naruszenia praw lub wolności jednostki powinna być dokonywana z perspektywy osoby, której dane są dotknięte, a nie z punktu widzenia interesów administratora danych.
– Gruntownie przeprowadzona analiza zdarzenia, w tym uwzględnienie prawdopodobieństwa wystąpienia negatywnych skutków oraz ich doniosłości ma służyć przede wszystkim ochronie praw osób fizycznych, których dotknęło naruszenie i które ostatecznie będą zmuszone ponieść jego, niekiedy bardzo poważne, konsekwencje. Zgłoszenie naruszenia to również bardzo ważne narzędzie weryfikacji, pozwalające ustalić organowi nadzorczemu czy administrator zastosował właściwe środki w celu zaradzenia naruszeniu i zminimalizowania jego negatywnych skutków oraz czy zastosował odpowiednie środki w celu zminimalizowania ryzyka jego ponownego wystąpienia – wskazuje organ nadzorczy w komunikacie.
Szanowni Państwo, naszym głównym zadaniem jest niesienie pomocy prawnej jednak z uwagi na panującą sytuację w kraju i na świecie postanowiliśmy hobbistycznie prowadzić dla Was bloga, w jakim staramy się przekazać najważniejsze wiadomości z Polski i świata, których nie usłyszycie w telewizji. Utrzymania naszego wspólnego serwisu wiąże się z dużymi kosztami.
Tylko dzięki Waszemu wsparciu będziemy w stanie nadal rzetelnie informować was, o jakich faktach nie poda wam telewizja.
Wsparcia można udzielić poprzez wpłatę dowolnej kwoty na nasz rachunek bankowy: 04 1020 3903 0000 1402 0122 6752
Kancelaria świadczy pełen wachlarz usług prawnych z zakresu prawa cywilnego, rodzinnego, spadkowego, upadłościowego, gospodarczego, karnego, pracy, handlowego.
Jeśli poszukujecie Państwo pomocy prawnej, zapraszamy do skorzystania z naszej oferty. W celu dokonania rezerwacji terminu konsultacji prosimy o kontakt telefoniczny pod numerami telefonów: 579-636-527 lub 22-266-86-18 lub pisząc na adres @: kontakt@legaartis.pl
»UWAGA! Informujemy, że kancelaria nie udziela darmowych porad prawnych.«
Jeśli uważacie Państwo, że nasze publikacje niosące prawdę zasługują na wparcie pracowników Kancelarii, którzy codziennie przeszukują setki stron, aby te wiadomości do Państwa dotarły, możecie nas wspomóc poprzez wpłatę dowolnej kwoty na rachunek bankowy Kancelarii LEGA ARTIS:
Dane do przelewu:
Nr konta: 04 1020 3903 0000 1402 0122 6752
Kancelaria Lega Artis
ul. Przasnyska 6a lok 336a
01-756 Warszawa
Tytuł: “darowizna na działalność”
IBAN: PL04102039030000140201226752
Anonimowe wsparcie Bitcoin:
bc1qdsav25h9dz3y9cm5yl896sfxg6x3mxe46cpt3r
Anonimowe wsparcie Ethereum:
0x45a3c849BCa45A6444A24cdF30708695498a3F6b
Wsparcie paypal:
https://paypal.me/legaartis
Jesteśmy do Państwa dyspozycji:
Pn. – czw.: 11:00 – 17:00
Piątek: 10:00 – 15:00
Serdecznie dziękujemy wszystkim osobom za dotychczas udzielone nam wsparcie finansowe.