Obowiązek informacyjny rodo

KOMPAS FORSAFE 2020/23

Kraj:

Polska

Data wydania decyzji:

09.12.2020 r.

Podmiot kontrolowany:

Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A.

Wysokość kary (EUR):

18.930

Podstawa prawna naruszenia

Art. 33 ust. 1, art. 34 ust. 1 RODO.

Niewystarczające wypełnienie obowiązków powiadamiania o naruszeniu danych.

 

Przyczyna naruszenia

Naruszenie ochrony danych osobowych przez TUiR WARTA S.A. polegało na wysłaniu polisy ubezpieczeniowej zawierającej dane osobowe 2 osób do nieuprawnionego adresata. Dane te obejmowały imiona, nazwiska, adresy zamieszkania, numery PESEL, numery telefonów, adresy e-mail oraz informacje dotyczące przedmiotu ubezpieczenia.

 

Opis wydarzeń

  1. Zgłoszenie naruszenia: Do Urzędu Ochrony Danych Osobowych (UODO) wpłynęła informacja o naruszeniu ochrony danych osobowych. Naruszenie zostało zgłoszone przez nieuprawnionego adresata, który otrzymał dokumenty zawierające dane osobowe.
  2. Działania UODO: UODO zwrócił się do Spółki o wyjaśnienia dotyczące analizy ryzyka naruszenia praw i wolności osób fizycznych. Spółka potwierdziła naruszenie, ale uznała, że nie doszło do wysokiego ryzyka naruszenia praw i wolności osób fizycznych.
  3. Ocena UODO: UODO uznało, że naruszenie poufności danych, w szczególności numerów PESEL, imion, nazwisk, adresów zamieszkania, numerów telefonów oraz adresów e-mail, wiąże się z wysokim ryzykiem naruszenia praw i wolności osób fizycznych. Natomiast Spółka nie dokonała zgłoszenia naruszenia w terminie 72 godzin oraz nie zawiadomiła osób, których dane dotyczą, bez zbędnej zwłoki.
  4. Postępowanie administracyjne: UODO wszczęło postępowanie administracyjne wobec Spółki.
  5. Reakcja Spółki: Spółka zgłosiła naruszenie oraz zawiadomiła osoby, których dane dotyczą, dopiero po wszczęciu postępowania administracyjnego.
  6. Wysokość kary: 85 588 PLN.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Zgłaszanie naruszeń:
    • Administrator danych powinien zgłaszać naruszenia ochrony danych osobowych UODO bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.
    • W przypadku wysokiego ryzyka naruszenia praw i wolności osób fizycznych, administrator powinien zawiadomić osoby, których dane dotyczą, o naruszeniu ich danych osobowych bez zbędnej zwłoki.
  2. Środki techniczne i organizacyjne:
    • Wdrożenie odpowiednich środków technicznych i organizacyjnych, takich jak weryfikacja adresów e-mail podawanych przez klientów oraz szyfrowanie przesyłanych dokumentów.
  3. Szkolenia i procedury:
    • Przeprowadzenie szkoleń dla pracowników oraz agentów ubezpieczeniowych w zakresie ochrony danych osobowych.
    • Opracowanie i wdrożenie procedur minimalizujących ryzyko naruszeń ochrony danych osobowych.
  4. Monitorowanie i audyty:
    • Regularne monitorowanie i audytowanie procesów przetwarzania danych osobowych w celu identyfikacji i eliminacji potencjalnych zagrożeń.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO