Prezes Urzędu Ochrony Danych Osobowych nałożył na LINK4 administracyjną karę pieniężną w wysokości 103 752 zł. Powodem sankcji jest niezgłoszenie PUODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.
Do Urzędu wpłynęła informacja, że osoba trzecia, jako nieuprawniony odbiorca, otrzymała w formie załącznika do wiadomości e-mail dokument potwierdzający przyznanie odszkodowania. W nadanej przez LINK4 wiadomości znalazły się takie dane, jak imię, nazwisko, adres do korespondencji, dane wskazujące markę, model, numer rejestracyjny samochodu, a także numer polisy, numer szkody, jej wartość oraz kwota uznanego roszczenia. O otrzymaniu wiadomości z cudzymi danymi osoba trzecia poinformowała LINK4, jednak nie otrzymała żadnej odpowiedzi.
W odpowiedzi na pytanie UODO administrator wskazał, że wiedział o zdarzeniu, i wyjaśnił, że wiadomość została wysłana do nieuprawnionego adresata oraz likwidatora szkody „w wyniku błędu ludzkiego”. Ubezpieczyciel poinformował również, że dokonał analizy ryzyka w oparciu o „rekomendowaną na stronie UODO metodologię ENISA” oraz dostępny w Internecie darmowy kalkulator do oceny wagi naruszenia. Analiza wykazała niskie ryzyko dla praw i wolności osoby, której dane dotyczą, i na tej podstawie firma odnotowała incydent w wewnętrznym rejestrze administratora, nie informując jednak o zdarzeniu organu nadzorczego. Ze względu na brak takiego zgłoszenia organ nadzorczy wszczął z urzędu postępowanie administracyjne wobec spółki.
Decydując się na zastosowanie środka w postaci administracyjnej kary pieniężnej, organ nadzorczy na podstawie art. 83 ust. 2 lit.a RODO wziął pod uwagę m.in. następujące okoliczności obciążające:
- długi czas trwania naruszenia;
- umyślność naruszenia;
- stwierdzenie naruszenia przepisów o ochronie danych osobowych w innym postępowaniu toczącym się wobec spółki;
- niezadowalający poziom współpracy z organem nadzorczym.
Organ zwrócił również uwagę, że spółka jest podmiotem, na którym ciążą szczególne obowiązki nałożone na mocy art. 35 ust. 1 ustawy z 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej, zgodnie z którym zakład ubezpieczeń i osoby w nim zatrudnione, a także osoby i podmioty, za pomocą których zakład ubezpieczeń wykonuje czynności ubezpieczeniowe, są obowiązane do zachowania tajemnicy dotyczącej poszczególnych umów ubezpieczenia.
UODO podkreślił, że przy dokonywaniu oceny pod kątem ryzyka naruszenia praw lub wolności osób fizycznych, od której uzależnione jest zgłoszenie naruszenia, należy łącznie uwzględnić czynnik prawdopodobieństwa i wagę potencjalnych negatywnych skutków. Organ przypomniał również, że zgłoszenie przez administratora naruszenia ochrony danych osobowych nie może być uzależnione od zaistnienia naruszenia praw lub wolności osób fizycznych. Samo bowiem ryzyko zmaterializowania się takiego naruszenia uzasadnia zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu.
(AM, źródło: UODO)
