Search
Close this search box.

Polen: Link4 Towarzystwo Ubezpieczeń bötfälls med 24 000 euro för att ha underlåtit att rapportera ett dataintrång i rätt tid

Urzędu Ochrony Danych Osobowych (UODO) har bötfällt Link4 Towarzystwo Ubezpieczeń S.A. med 24 000 euro för överträdelser av dataskyddsförordningen (GDPR).

Av beslutet framgår att försäkringsbolaget Link4 Towarzystwo Ubezpieczeń inte anmält ett dataintrång till myndigheten inom 72 timmar efter att ha upptäckt det, trots att det innebar en risk för de drabbade personernas rättigheter och friheter.

Dataintrånget inträffade när försäkringsbolaget av misstag skickat ett e-postmeddelande med ett dokument som bekräftade att en kund fått ersättning för en skada på sitt fordon. Dokumentet innehöll kundens namn, adress, fordonets märke, modell och registreringsnummer, polisens och skadans nummer samt beloppet för ersättningen. E-postmeddelandet skickades till en annan kund som var inblandad i en annan skada. Den andra kunden informerade försäkringsbolaget om misstaget, men fick ingen återkoppling.

Försäkringsbolaget genomförde en riskanalys baserad på metodologin från Europeiska byrån för nät- och informationssäkerhet (ENISA) och kom fram till att dataintrånget innebar ett låg risk för de drabbade personernas rättigheter och friheter. Försäkringsbolaget menade att de avslöjade personuppgifterna var av grundläggande karaktär och inte kunde leda till några negativa konsekvenser för kunden, såsom identitetsstöld, ekonomisk förlust eller kränkning av det goda namnet. Försäkringsbolaget registrerade dataintrånget i sin interna förteckning, men anmälde det inte till myndigheten eller kunden.

UODO fick kännedom om dataintrånget från den andra kunden som fått e-postmeddelandet och inledde ett tillsynsärende mot försäkringsbolaget. UODO ansåg att försäkringsbolaget gjort en felaktig riskbedömning och att dataintrånget innebar en större risk för de drabbade personernas rättigheter och friheter än vad försäkringsbolaget hävdat. UODO pekade på att de avslöjade personuppgifterna kunde användas för obehöriga ändamål, såsom bedrägerier, utpressning eller trakasserier, och att kunden kunde lida skada i form av oro, stress eller förlust av kontroll över sina personuppgifter. UODO framhöll också att försäkringsbolaget misslyckats med att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna som överfördes via e-post. UODO beslutade därför att påföra en administrativ sanktionsavgift för att ha brutit mot sin skyldighet att anmäla dataintrånget till UODO inom 72 timmar efter att ha upptäckt det, vilket utgör en överträdelse av artikel 33.1 GDPR.

Mer information

Myndighet: Urzędu Ochrony Danych Osobowych (UODO)

Land: Polen

Lagrum: Art. 33 GDPR, art. 58 GDPR, art. 83 GDPR

Sanktionsavgift: 24 000 euro

Mottagare: Link4 Towarzystwo Ubezpieczeń S.A.

Beslutsnummer: DKN.531.55.2022

Beslutsdatum: 2023-11-23

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

07 MAR

AI – Introduktion till artificiell intelligens

Kursen ger dig de rättsliga förutsättningarna för utveckling, upphandling och användning av AI.

14 MAR

Cybersäkerhet - Introduktion till NIS2-direktviet

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

AI - Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.