Polityka i prawo

160 tys. zł kary dla ERGO Hestia za niezgłoszenie naruszenia ochrony danych osobowych

fot. media.ergohestia.pl
fot. media.ergohestia.pl

Urząd Ochrony Danych Osobowych nałożył administracyjną karę pieniężną na Sopockie Towarzystwo Ubezpieczeń ERGO Hestia w wysokości prawie 160 tys. zł za niezgłoszenie naruszenia ochrony danych osobowych. 

Spółkę ukarano również za niezawiadomienie osoby, której dane dotyczą o naruszeniu, do czego zobowiązał ją także organ nadzorczy - informuje UODO.   

O wycieku urząd powiadomiła firma zajmująca się pośrednictwem ubezpieczeniowym. W procesie przetwarzania danych pełniła ona podwójną rolę. Z jednej strony była administratorem danych, a z drugiej podmiotem przetwarzającym działającym na rzecz towarzystw ubezpieczeniowych. 

Na czym polegało naruszenie?

Naruszenie polegało na wysłaniu pocztą elektroniczną przez pracownika pośrednictwa finansami do niewłaściwego odbiorcy analizy potrzeb ubezpieczeniowych oraz oferty ubezpieczenia, zawierającą dane jak imię, nazwisko, numer PESEL, miejscowość, kod pocztowy czy informację o przedmiocie ubezpieczenia. W błędnie wysłanej korespondencji były dane osobowe zawarte w ofertach i kalkulacjach kilku towarzystw ubezpieczeniowych.

Podmiot ten, będąc administratorem danych w postaci imienia i nazwiska, zdecydował się dokonać zgłoszenia naruszenia ochrony danych osobowych do UODO w związku z ujawnionymi danymi osobowymi zawartymi w załącznikach.

Przeprowadzona przez UODO weryfikacja wykazała, że w związku z tym incydentem kilka towarzystw ubezpieczeniowych jako administratorzy danych, dokonało zgłoszenia naruszenia ochrony danych. Zgłoszenia takiego nie odnotowano jednak od Sopockiego Towarzystwa Ubezpieczeń ERGO Hestia.

Wyjaśnienia spółki

UODO zwrócił się do spółki o wyjaśnienia. Spółka potwierdziła, że w istocie doszło do naruszenia ochrony danych osobowych, jednak na podstawie wykonanej oceny pod kątem ryzyka naruszenia praw i wolności osób fizycznych uznano, iż nie doszło do naruszenia skutkującego koniecznością zgłoszenia naruszenia Prezesowi UODO oraz zawiadomienia osoby, której danych osobowych dotyczy naruszenie.

Jak wskazuje UODO, oceny dokonano, posługując się formularzem opracowanym przez spółkę.  Co więcej, przeprowadzona przez ERGO Hestia analiza ryzyka, budziła wątpliwości organu nadzorczego i nie została dokonana w sposób prawidłowy. 

160 tys. zł kary

Zdaniem UODO w tej sprawie doszło do naruszenia bezpieczeństwa, ponieważ dane osobowe zostały udostępnione nieuprawnionemu odbiorcy, którego nie można uznać za „odbiorcę zaufanego”, a zakres tych danych przesądza o tym, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

W ocenie UODO zastosowana kara pieniężna będzie skuteczna i spełni swoją funkcję.

Na podstawie informacji prasowej UODO

image

 

Komentarze

    Czytaj także