Kara dla TU Warta S.A. za upublicznienie danych


Jak istotna jest odpowiednia reakcja i ocena naruszenia przez Administratora Danych Osobowych przekonało się Towarzystwo Ubezpieczeń Warta S.A. Ten przypadek wskazuje również jak trudne zadanie spoczywa na Inspektorze Ochrony Danych.

Nałożona kara (ponad 85 tys. złotych) dotyczy przesłania przez TU Warta S.A. informacji zawartych w polisie ubezpieczeniowej drogą mailową do nieuprawnionego adresata. Przesłana polisa zawierała takie dane osobowe jak: imiona, nazwiska, adres zamieszkania numer PESEL oraz informacje dot. przedmiotu ubezpieczenia.

Nieuprawniony odbiorca o zaistniałym fakcie poinformował TU Warta, która to poprosiła o trwałe usunięcie przesłanej błędnie korespondencji z prośbą o potwierdzenie usunięcia danych. Czego nie zrobiło w pierwszej kolejności TU? Nie poinformowało o zaistniałym fakcie osoby, której naruszenie dotyczyło oraz nie zgłosiło naruszenia do UODO.


Urząd Ochrony Danych Osobowych zareagował pismem do TU Warta z prośbą o wyjaśnienia, a następnie wystosowano powiadomienie o wszczęciu postępowania administracyjnego. Dopiero te działania spowodowały reakcję ze strony Towarzystwa Ubezpieczeniowego, które powiadomiło osoby, których naruszenie dotyczyło.

W wyniku postępowania ustalono, że klient TU sam podał błędny adres e-mail, jednak w uzasadnieniu Prezesa Urzędu Ochrony Danych można przeczytać, iż Administrator powinien przewidzieć ryzyko podania błędnego adresu e-mail i wprowadzić odpowiednie środki organizacyjne oraz techniczne jak: weryfikacja adresu a-mail oraz szyfrowanie przesyłanych tą drogą dokumentów.

Prośba o usunięcie danych również nie daje gwarancji, iż takie czynności zostały podjęte, co nie wyklucza nieuprawnionego wykorzystania danych i ich ewentualnych negatywnych konsekwencji.




Ostatnie posty

Zobacz wszystkie