Urzędu Ochrony Danych Osobowych (UODO) har utfärdat en sanktionsavgift på 24 000 euro mot Link4 Towarzystwo Ubezpieczeń S.A. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att försäkringsbolaget Link4 Towarzystwo Ubezpieczeń inte anmält ett dataintrång till myndigheten inom 72 timmar efter att ha upptäckt det, trots att det innebar en risk för de drabbade personernas rättigheter och friheter.
Dataintrånget inträffade när försäkringsbolaget av misstag skickat ett e-postmeddelande med ett dokument som bekräftade att en kund fått ersättning för en skada på sitt fordon. Dokumentet innehöll kundens namn, adress, fordonets märke, modell och registreringsnummer, polisens och skadans nummer samt beloppet för ersättningen. E-postmeddelandet skickades till en annan kund som var inblandad i en annan skada. Den andra kunden informerade försäkringsbolaget om misstaget, men fick ingen återkoppling.
Försäkringsbolaget genomförde en riskanalys baserad på metodologin från Europeiska byrån för nät- och informationssäkerhet (ENISA) och kom fram till att dataintrånget innebar ett låg risk för de drabbade personernas rättigheter och friheter. Försäkringsbolaget menade att de avslöjade personuppgifterna var av grundläggande karaktär och inte kunde leda till några negativa konsekvenser för kunden, såsom identitetsstöld, ekonomisk förlust eller kränkning av det goda namnet. Försäkringsbolaget registrerade dataintrånget i sin interna förteckning, men anmälde det inte till myndigheten eller kunden.
UODO fick kännedom om dataintrånget från den andra kunden som fått e-postmeddelandet och inledde ett tillsynsärende mot försäkringsbolaget. UODO ansåg att försäkringsbolaget gjort en felaktig riskbedömning och att dataintrånget innebar en större risk för de drabbade personernas rättigheter och friheter än vad försäkringsbolaget hävdat. UODO pekade på att de avslöjade personuppgifterna kunde användas för obehöriga ändamål, såsom bedrägerier, utpressning eller trakasserier, och att kunden kunde lida skada i form av oro, stress eller förlust av kontroll över sina personuppgifter. UODO framhöll också att försäkringsbolaget misslyckats med att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna som överfördes via e-post. UODO beslutade därför att påföra en administrativ sanktionsavgift för att ha brutit mot sin skyldighet att anmäla dataintrånget till UODO inom 72 timmar efter att ha upptäckt det, vilket utgör en överträdelse av artikel 33.1 GDPR.