– Do Urzędu Ochrony Danych Osobowych wpłynęła informacja, że osoba trzecia, jako nieuprawniony odbiorca, otrzymała w formie załącznika do wiadomości e-mail dokument potwierdzający przyznanie odszkodowania. W nadanej przez Link4 Towarzystwo Ubezpieczeń S.A. wiadomości znalazły się takie dane jak imię, nazwisko, adres do korespondencji, dane wskazujące markę, model, numer rejestracyjny samochodu, a także numer polisy, numer szkody, jej wartość oraz kwota uznanego roszczenia. O otrzymaniu wiadomości z cudzymi danymi osoba trzecia poinformowała firmę ubezpieczeniową, jednak nie otrzymała żadnej odpowiedzi – czytamy w komunikacie UODO.
„Błąd ludzki"
– Administrator, w odpowiedzi na pytanie UODO, wskazał, że wiedział o zdarzeniu i wyjaśnił, że wiadomość została wysłana do nieuprawnionego adresata oraz likwidatora szkody „w wyniku błędu ludzkiego” – dodano.
Link4 poinformował również, że dokonał analizy ryzyka w oparciu o „rekomendowaną na stronie UODO metodologię ENISA” oraz, dostępny w Internecie, darmowy kalkulator do oceny wagi naruszenia.
– Analiza wykazała niskie ryzyko dla praw i wolności osoby, której dane dotyczą i na tej podstawie firma odnotowała incydent w wewnętrznym rejestrze administratora, nie informując jednak o zdarzeniu organu nadzorczego. Ze względu na brak takiego zgłoszenia, organ nadzorczy wszczął z urzędu postępowanie administracyjne wobec spółki – podkreśla UODO.
UODO o karze pieniężnej
Decydując się na zastosowanie środka w postaci administracyjnej kary pieniężnej, organ nadzorczy na podstawie art. 83 ust. 2 lit.a RODO wziął pod uwagę m.in. następujące okoliczności obciążające: długi czas trwania naruszenia; umyślność naruszenia,; stwierdzenie naruszenia przepisów o ochronie danych osobowych w innym postępowaniu toczącym się wobec spółki; niezadowalający poziom współpracy z organem nadzorczym. Organ zwrócił również uwagę, że spółka jest podmiotem, na którym ciążą szczególne obowiązki nałożone na mocy art. 35 ust. 1 ustawy z 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej, zgodnie z którym zakład ubezpieczeń i osoby w nim zatrudnione, a także osoby i podmioty, za pomocą których zakład ubezpieczeń wykonuje czynności ubezpieczeniowe, są obowiązane do zachowania tajemnicy dotyczącej poszczególnych umów ubezpieczenia.
UODO podkreśla, że przy dokonywaniu oceny pod kątem ryzyka naruszenia praw lub wolności osób fizycznych, od której uzależnione jest zgłoszenie naruszenia, należy łącznie uwzględnić czynnik prawdopodobieństwa i wagę potencjalnych negatywnych skutków. Organ przypomina również, że zgłoszenie przez administratora naruszenia ochrony danych osobowych, nie może być uzależnione od zaistnienia naruszenia praw lub wolności osób fizycznych. Samo bowiem ryzyko zmaterializowania się takiego naruszenia uzasadnia zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu. Badając sprawę, organ kilkukrotnie podkreślał, że ocena ryzyka naruszenia praw lub wolności osoby fizycznej powinna być dokonywana przez pryzmat osoby, której dane dotyczą, a nie interesów administratora.
– Gruntownie przeprowadzona analiza zdarzenia, w tym uwzględnienie prawdopodobieństwa wystąpienia negatywnych skutków oraz ich doniosłości ma służyć przede wszystkim ochronie praw osób fizycznych, których dotknęło naruszenie i które ostatecznie będą zmuszone ponieść jego, niekiedy bardzo poważne, konsekwencje. Zgłoszenie naruszenia to również bardzo ważne narzędzie weryfikacji, pozwalające ustalić organowi nadzorczemu czy administrator zastosował właściwe środki w celu zaradzenia naruszeniu i zminimalizowania jego negatywnych skutków oraz czy zastosował odpowiednie środki w celu zminimalizowania ryzyka jego ponownego wystąpienia – podsumowuje UODO.
Czytaj też:
Wyjątkowa oferta na Black Friday: w LINK4 cały tydzień obniżonych cen!Czytaj też:
Zwycięzca Loterii Jubileuszowej LINK4 odebrał swój nowy samochód