Σάββατο, 7 Σεπτεμβρίου 2024

Πολωνία: Πρόστιμο 24.000 ευρώ σε ασφαλιστική για τη μη ενημέρωση της εποπτικής αρχής μετά από παραβίαση δεδομένων

Δημοσίευση: 28/03/2024

Η πολωνική αρχή προστασίας δεδομένων ενημερώθηκε πως άγνωστος παραλήπτης έλαβε έγγραφο επιβεβαίωσης για την καταβολή αποζημίωσης, το οποίο ήταν συνημμένο σε email που του απεστάλη. Το email, το οποίο είχε αποσταλεί από ασφαλιστική εταιρεία, περιελάμβανε προσωπικά δεδομένα όπως ονοματεπώνυμο, διεύθυνση ηλεκτρονικού ταχυδρομείου, τύπος και αριθμός πινακίδας αυτοκινήτου, καθώς και αριθμό ασφαλιστηρίου και ποσό αποζημίωσης.

Ο μη εξουσιοδοτημένος παραλήπτης ενημέρωσε την ασφαλιστική εταιρεία για το μήνυμα που έλαβε, χωρίς να λάβει κάποια απάντηση.

Ερωτηθείς από την πολωνική αρχή, ο υπεύθυνος επεξεργασίας ισχυρίστηκε πως ήταν ενήμερος για το περιστατικό και απέδωσε την αποστολή του σε ανθρώπινο λάθος. Παράλληλα, η ασφαλιστική εταιρεία ενημέρωσε την αρχή πως διενήργησε ανάλυση κινδύνου, σύμφωνα με τη μεθοδολογία του ENISA, η οποία προτείνεται και από την ίδια την αρχή. Η ανάλυση κατέδειξε χαμηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκειμένου, για τον λόγο αυτό η εταιρεία κατέγραψε το περιστατικό στο εσωτερικό αρχείο που τηρεί, αλλά δεν γνωστοποίησε την παραβίαση στην εποπτική αρχή, όπως προβλέπει το άρθρο 33 ΓΚΠΔ.

Εξαιτίας της μη ενημέρωσής της, η πολωνική αρχή διενήργησε αυτεπάγγελτη έρευνα σε βάρος της εταιρείας.

Οι διαπιστώσεις της αρχής:

Η πολωνική αρχή αποφάσισε να επιβάλει διοικητικό πρόστιμο, βάσει του άρθρου 83 παρ.2α ΓΚΠΔ, λαμβάνοντας υπόψιν της επιβαρυντικές περιστάσεις όπως, η μακρά διάρκεια της παράβασης, η εμπλοκή του υπευθύνου επεξεργασίας σε άλλες υποθέσεις ενώπιόν της και το μη ικανοποιητικό επίπεδο συνεργασίας της με τον υπεύθυνο επεξεργασίας.

Η αρχή επεσήμανε πως η εταιρεία υπόκειται σε συγκεκριμένες υποχρεώσεις που θεσπίζονται από τη νομοθεσία για τις ασφαλιστικές εταιρείες, με το άρθρο 35 της οποίας προβλέπεται πως η ασφαλιστική εταιρεία, οι υπάλληλοί της, καθώς και κάθε πρόσωπο ή οντότητα που ενεργεί για λογαριασμό της οφείλει να μεριμνά για την εμπιστευτικότητα των πληροφοριών που σχετίζονται με τα συμβόλαια ασφάλισης.

Η απόφαση:

Ο Πρόεδρος της πολωνικής αρχής προστασίας δεδομένων επέβαλε πρόστιμο 24.000 ευρώ στην εταιρεία για τη μη γνωστοποίηση της παραβίασης δεδομένων στην εποπτική αρχή.

Από το αρχείο ενημερώσεων του ΕΣΠΔ

Ακολουθήστε το insuranceforum.gr στο Google News.

Διαβάστε Ακόμα

36th Thessaloniki Insurance Conference

Παρασκευή 9 Φεβρουαρίου

«Αντιμετωπίζοντας προκλήσεις – Δημιουργώντας ευκαιρίες»