Obowiązek informacyjny rodo

KOMPAS FORSAFE 2021/38

Kraj:

Polska

Data wydania decyzji:

21.06.2021 r.

Podmiot kontrolowany:

Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A.

Wysokość kary (EUR):

35.300

Podstawa prawna naruszenia

Art. 33 ust. 1, art. 34 ust. 1 RODO.

Niewystarczające wypełnienie obowiązków powiadamiania o naruszeniu danych.

 

Przyczyna naruszenia

Naruszenie przez Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. przepisów o ochronie danych osobowych polegało na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych (UODO) naruszenia ochrony danych osobowych w terminie 72 godzin oraz niezawiadomieniu osoby, której dane dotyczą, o naruszeniu. Naruszenie miało miejsce w wyniku wysłania przez X Sp. z o.o. (podmiot przetwarzający) analizy potrzeb ubezpieczeniowych zawierającej dane osobowe do niewłaściwego odbiorcy.

 

Opis wydarzeń

  1. Wysłanie danych do niewłaściwego odbiorcy: We wrześniu 2021 r. X Sp. z o.o. wysłała e-mailem analizę potrzeb ubezpieczeniowych zawierającą dane osobowe do niewłaściwego odbiorcy.
  2. Zgłoszenie naruszenia przez X Sp. z o.o.: X Sp. z o.o. zgłosiła naruszenie Prezesowi UODO, informując, że dane osobowe zostały wysłane do niewłaściwego odbiorcy.
  3. Brak zgłoszenia przez ERGO Hestia: Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. nie zgłosiło naruszenia Prezesowi UODO ani nie zawiadomiło osoby, której dane dotyczą.
  4. Postępowanie administracyjne: Prezes UODO wszczął postępowanie administracyjne w sprawie braku zgłoszenia naruszenia przez ERGO Hestia.
  5. Ocena ryzyka: ERGO Hestia przeprowadziła ocenę ryzyka, uznając, że naruszenie nie skutkowało wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, co było podstawą do niezgłoszenia naruszenia.
  6. Stanowisko Prezesa UODO: Prezes UODO uznał, że dokonana przez ERGO Hestia ocena została przeprowadzona niewłaściwie oraz wskazał kilka nieprawidłowości, tj. zaniżanie wyników w poszczególnych kryteriach, brak uwzględnienia istotnych czynników dla poszczególnych kryteriów, uwzględnienie czynników, które nie powinny mieć zastosowania.
  7. Decyzja Prezesa UODO: Prezes UODO nałożył na ERGO Hestia administracyjną karę pieniężną w wysokości 159.176 PLN za naruszenie przepisów RODO.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Zgłaszanie naruszeń: Zgłoszenie naruszenia ochrony danych osobowych UODO w terminie 72 godzin od stwierdzenia naruszenia.
  2. Zawiadamianie osób, których dane dotyczą: W przypadku naruszenia ochrony danych osobowych, które może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, zawiadomienie bez zbędnej zwłoki osoby, której dane dotyczą, o naruszeniu.
  3. Ocena ryzyka: Przeprowadzanie rzetelnej oceny ryzyka naruszenia praw lub wolności osób fizycznych, uwzględniającej wszystkie istotne czynniki.
  4. Wdrożenie środków technicznych i organizacyjnych: Wdrożenie odpowiednich środków technicznych i organizacyjnych, aby zapewnić bezpieczeństwo przetwarzanych danych osobowych.
  5. Szkolenia dla pracowników: Regularne szkolenia dla pracowników dotyczące ochrony danych osobowych i procedur zgłaszania naruszeń.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO