Urzędu Ochrony Danych Osobowych (UODO) har utfärdat en sanktionsavgift på 78 575 zloty mot Toyota Bank Polska S.A. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en anställd hos Toyota Bank av misstag skickat ett brev med personuppgifter om den registrerade till en annan kund. Brevet innehöll personuppgifter som bland annat namn, bankkontonummer, adress, nationellt id-nummer från det låneavtal som ingåtts mellan den registrerade och Toyota Bank. Den felaktiga mottagaren hämtade och öppnade brevet.
Toyota Bank registrerade händelsen i det interna registret för personuppgiftsincidenter och gjorde en riskbedömning. Under riskbedömningen beaktade Toyota Bank riktlinjerna för personuppgiftsincidenter. Enligt Toyota Bank påverkade personuppgiftsincidenten endast en person, brevet återfanns snabbt och den felaktiga adressaten var en annan kund hos Toyota Bank som också och hjälpte till att lösa problemet. På grund av detta tilldelade Toyota Bank personuppgiftsincidenten en låg risknivå, och underrättade inte UODO. Toyota Bank beslutade dock att informera den registrerade om överträdelsen genom att skicka ett brev.
Den registrerade lämnade in ett klagomål till UODO och hävdade att Toyota Bank olagligen lämnat ut dennes personuppgifter. Under klagomålsförfarandet underrättade Toyota Bank UODO om personuppgiftsincidenter vilket innebar att anmälan gjordes nästan 18 månader efter överträdelsen.
Till följd av den sena anmälan av dataintrånget inledde UODO ett förfarande på eget initiativ avseende överträdelse av artikel 33.1 GDPR. Enligt UODO underlät Toyota Bank att göra en adekvat bedömning av risken för personuppgiftsincidenten. UODO betonade att den registrerades intressen bör vara den viktigaste referensen när man gör en riskbedömning av en personuppgiftsincident. Personuppgifterna som omfattades av personuppgiftsincidenten innehöll det nationella id-numret och andra personuppgifter. Dessa uppgifter kan användas för många obehöriga ändamål, särskilt identitetsstöld eller bedrägeri, och orsaka materiell eller immateriell skada för den registrerade.
Den felaktiga mottagaren kunde inte heller betraktas som en betrodd part, eftersom Toyota Bank inte kunde förutse mottagarens vidare åtgärder med de utlämnade personuppgifterna. Följaktligen var personuppgiftsincidenten allvarligare och utgjorde en högre risk jämfört med den risk som Toyota Bank identifierat. På grund av detta var Toyota Bank skyldig att underrätta UODO, inte bara den registrerade.
Sammanfattningsvis konstaterade UODO att artikel 33.1 GDPR överträtts och utfärdade en sanktionsavgift på 78 575 zloty mot Toyota Bank.