Πρόστιμο 24.000 ευρώ σε ασφαλιστική για τη μη ενημέρωση της εποπτικής αρχής μετά από παραβίαση δεδομένων
Η πολωνική ασφαλιστική εταιρεία απέστειλε email με δεδομένα ασφάλισης σε λάθος παραλήπτη
ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ / ΔΙΚΑΙΟ ΒΙΟΜΗΧΑΝΙΚΉΣ ΚΑΙ ΠΝΕΥΜΑΤΙΚΉΣ ΙΔΙΟΚΤΗΣΙΑΣ ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ
ΙΩΑΝΝΗΣ ΙΓΓΛΕΖΑΚΗΣ
Ιστορικό:
Η πολωνική αρχή προστασίας δεδομένων ενημερώθηκε πως άγνωστος παραλήπτης έλαβε έγγραφο επιβεβαίωσης για την καταβολή αποζημίωσης, το οποίο ήταν συνημμένο σε email που του απεστάλη. Το email, το οποίο είχε αποσταλεί από ασφαλιστική εταιρεία, περιελάμβανε προσωπικά δεδομένα όπως ονοματεπώνυμο, διεύθυνση ηλεκτρονικού ταχυδρομείου, τύπος και αριθμός πινακίδας αυτοκινήτου, καθώς και αριθμό ασφαλιστηρίου και ποσό αποζημίωσης.
Ο μη εξουσιοδοτημένος παραλήπτης ενημέρωσε την ασφαλιστική εταιρεία για το μήνυμα που έλαβε, χωρίς να λάβει κάποια απάντηση.
Ερωτηθείς από την πολωνική αρχή, ο υπεύθυνος επεξεργασίας ισχυρίστηκε πως ήταν ενήμερος για το περιστατικό και απέδωσε την αποστολή του σε ανθρώπινο λάθος. Παράλληλα, η ασφαλιστική εταιρεία ενημέρωσε την αρχή πως διενήργησε ανάλυση κινδύνου, σύμφωνα με τη μεθοδολογία του ENISA, η οποία προτείνεται και από την ίδια την αρχή. Η ανάλυση κατέδειξε χαμηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκειμένου, για τον λόγο αυτό η εταιρεία κατέγραψε το περιστατικό στο εσωτερικό αρχείο που τηρεί, αλλά δεν γνωστοποίησε την παραβίαση στην εποπτική αρχή, όπως προβλέπει το άρθρο 33 ΓΚΠΔ.
Εξαιτίας της μη ενημέρωσής της, η πολωνική αρχή διενήργησε αυτεπάγγελτη έρευνα σε βάρος της εταιρείας.
Διαβάστε επίσης: Πρόστιμο σε δικαστήριο για τη μη ενημέρωση υποκειμένων και αρχής για παραβίαση δεδομένων
Οι διαπιστώσεις της αρχής:
Η πολωνική αρχή αποφάσισε να επιβάλει διοικητικό πρόστιμο, βάσει του άρθρου 83 παρ.2α ΓΚΠΔ, λαμβάνοντας υπόψιν της επιβαρυντικές περιστάσεις όπως, η μακρά διάρκεια της παράβασης, η εμπλοκή του υπευθύνου επεξεργασίας σε άλλες υποθέσεις ενώπιόν της και το μη ικανοποιητικό επίπεδο συνεργασίας της με τον υπεύθυνο επεξεργασίας.
Η αρχή επεσήμανε πως η εταιρεία υπόκειται σε συγκεκριμένες υποχρεώσεις που θεσπίζονται από τη νομοθεσία για τις ασφαλιστικές εταιρείες, με το άρθρο 35 της οποίας προβλέπεται πως η ασφαλιστική εταιρεία, οι υπάλληλοί της, καθώς και κάθε πρόσωπο ή οντότητα που ενεργεί για λογαριασμό της οφείλει να μεριμνά για την εμπιστευτικότητα των πληροφοριών που σχετίζονται με τα συμβόλαια ασφάλισης.
Η απόφαση:
Ο Πρόεδρος της πολωνικής αρχής προστασίας δεδομένων επέβαλε πρόστιμο 24.000 ευρώ στην εταιρεία για τη μη γνωστοποίηση της παραβίασης δεδομένων στην εποπτική αρχή.
Από το αρχείο ενημερώσεων του ΕΣΠΔ
