
Διοικητικό πρόστιμο 24.000 € για παράλειψη κοινοποίησης παραβίασης προσωπικών δεδομένων δέχθηκε ασφαλιστική εταιρία στην Πολωνία από την εποπτική αρχή της χώρας.
Το ιστορικό της υπόθεσης:
Η Πολωνική Εποπτική Αρχή για την προστασία των δεδομένων (SA) ενημερώθηκε ότι ο μη εξουσιοδοτημένος παραλήπτης είχε λάβει ένα έγγραφο που επιβεβαίωνε την αποζημίωση σε συνημμένο email. Το e-mail από την ασφαλιστική εταιρεία περιείχε προσωπικά δεδομένα όπως όνομα, επώνυμο, ταχυδρομική διεύθυνση, μάρκα, μοντέλο και αριθμό κυκλοφορίας του αυτοκινήτου, καθώς και τον αριθμό συμβολαίου, τον αριθμό ζημιάς και το ποσό της απαίτησης που επιδικάστηκε.
Ο μη εξουσιοδοτημένος παραλήπτης ενημέρωσε την ασφαλιστική εταιρεία για τη λήψη ενός e-mail με συνημμένο που περιείχε προσωπικά δεδομένα κάποιου άλλου, αλλά δεν έλαβε καμία απάντηση.
Ο υπεύθυνος επεξεργασίας, απαντώντας σε ερώτηση της πολωνικής SA, ανέφερε ότι γνώριζε το περιστατικό και εξήγησε ότι το e-mail στάλθηκε σε μη εξουσιοδοτημένο παραλήπτη ως αποτέλεσμα ανθρώπινου λάθους». Η ασφαλιστική εταιρεία ενημέρωσε επίσης ότι έκανε ανάλυση κινδύνου με βάση τη “μεθοδολογία ENISA” που συνέστησε η πολωνική SA. Η ανάλυση έδειξε χαμηλό κίνδυνο για τα δικαιώματα και την ελευθερία του υποκειμένου των δεδομένων, και σε αυτή τη βάση, η εταιρεία σημείωσε αυτό το περιστατικό στην Εσωτερικό μητρώο του υπεύθυνου επεξεργασίας, αλλά δεν το κοινοποίησε στην εποπτική αρχή.Λόγω έλλειψης κοινοποίησης, η πολωνική SA κίνησε αυτεπάγγελτα διοικητική διαδικασία κατά της εταιρείας.
Η απόφαση για το πρόστιμο
Η Πολωνική SA αποφάσισε να επιβάλλει διοικητικό πρόστιμο, βάσει του άρθρου 83 παράγραφος 2 στοιχείο α) του GDPR, λαμβάνοντας υπόψη επιβαρυντικές περιστάσεις όπως: μεγάλη διάρκεια της παράβασης, σκόπιμη διαπίστωση παραβίασης των κανονισμών προστασίας δεδομένων σε άλλες εκκρεμείς διαδικασίες κατά της εταιρείας, μη ικανοποιητικό επίπεδο συνεργασίας με την εποπτική αρχή.
Η πολωνική SA επεσήμανε επίσης ότι αυτή η εταιρεία υπόκειται σε συγκεκριμένες υποχρεώσεις που επιβάλλονται από το άρθρο 35 παράγραφος 1 του νόμου της 11ης Σεπτεμβρίου 2015 για τις ασφαλιστικές και αντασφαλιστικές δραστηριότητες, σύμφωνα με τις οποίες η ασφαλιστική εταιρεία και οι υπάλληλοί της, καθώς και πρόσωπα και Οι φορείς μέσω των οποίων η ασφαλιστική εταιρεία εκτελεί ασφαλιστικές εργασίες υποχρεούνται να τηρούν το απόρρητο που αφορά το ατομικό ασφαλιστήριο συμβόλαιο.
Mε πληροφορίες από edpb.europa.eu