Link4 Ubezpieczenia S.A. ukarane przez UODO za naruszenie ochrony danych osobowych

Naruszenie procedur ochrony danych

Zdarzenie, które doprowadziło do nałożenia kary, miało miejsce, gdy osoba trzecia otrzymała przez pomyłkę e-mail z załącznikiem zawierającym poufne dane klienta Link4. Wiadomość zawierała szczegółowe informacje, takie jak imię, nazwisko, adres, dane pojazdu, numer polisy, numer szkody, jej wartość oraz kwotę roszczenia.

11(20) 2023 SECURITY MAGAZINE Monika Świetlińska

Mimo informacji od osoby trzeciej, firma ubezpieczeniowa nie odpowiedziała na zgłoszenie.

Błąd ludzki i niskie ryzyko

W odpowiedzi na zapytanie UODO, Link4 przyznało, że doszło do błędu ludzkiego, w wyniku którego nieuprawniona osoba otrzymała poufne dane. Firma przeprowadziła analizę ryzyka, korzystając z metodologii ENISA i darmowego kalkulatora online, dochodząc do wniosku, że ryzyko dla praw i wolności osoby, której dane dotyczą, jest niskie. Na tej podstawie zdecydowano o nieinformowaniu UODO o incydencie.

UODO, decydując o nałożeniu kary, uwzględnił kilka czynników obciążających spółkę. Wśród nich znalazły się długi czas trwania naruszenia, umyślność naruszenia, wcześniejsze naruszenia przepisów o ochronie danych oraz brak współpracy z organem nadzorczym. Podkreślono również, że jako zakład ubezpieczeń, Link4 ma szczególne obowiązki dotyczące zachowania tajemnicy informacji ubezpieczeniowych.

Znaczenie prawidłowej oceny ryzyka

UODO zwrócił uwagę, że ocena ryzyka naruszenia praw lub wolności osób fizycznych powinna uwzględniać potencjalne negatywne skutki dla osób, których dane dotyczą, a nie tylko interesy administratora danych. Zgłoszenie naruszenia jest kluczowym narzędziem w ocenie, czy odpowiednie środki zostały zastosowane w celu zaradzenia naruszeniu i minimalizacji jego skutków.

YouTube spowalnia ładowanie filmów dla blokujących reklamyMonika Świetlińska

- Badając sprawę, organ kilkukrotnie podkreślał, że ocena ryzyka naruszenia praw lub wolności osoby fizycznej powinna być dokonywana przez pryzmat osoby, której dane dotyczą, a nie interesów administratora. Gruntownie przeprowadzona analiza zdarzenia, w tym uwzględnienie prawdopodobieństwa wystąpienia negatywnych skutków oraz ich doniosłości ma służyć przede wszystkim ochronie praw osób fizycznych, których dotknęło naruszenie i które ostatecznie będą zmuszone ponieść jego, niekiedy bardzo poważne, konsekwencje - zaznaczył Urząd Ochrony Danych Osobowych, dodając: - Zgłoszenie naruszenia to również bardzo ważne narzędzie weryfikacji, pozwalające ustalić organowi nadzorczemu czy administrator zastosował właściwe środki w celu zaradzenia naruszeniu i zminimalizowania jego negatywnych skutków oraz czy zastosował odpowiednie środki w celu zminimalizowania ryzyka jego ponownego wystąpienia.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.