Prezes Urzędu Ochrony Danych Osobowych nałożył na Wartę karę w wysokości 85 588 zł za, jak to określono, brak zgłoszenia naruszenia ochrony danych osobowych bez zbędnej zwłoki. Sprawa dotyczyła wysyłki do nieuprawnionego adresata maila z polisą zawierającą dane ubezpieczającego, o czym – w ocenie Urzędu – ubezpieczyciel powinien powiadomić niezwłocznie organ nadzorczy oraz samego zainteresowanego.

Przeczytajcie także: • Klienci Warty dostaną propozycję odnowienia OC mailem lub SMS-em

Ciekawym aspektem tej sprawy jest fakt, że błędny adres podał sam klient. W wyniku tej pomyłki agent działający na rzecz Warty wysłał polisę na maila należącego do innej osoby. Omyłkowy odbiorca życzliwie poinformował UODO o otrzymaniu dokumentów zawierających dane osobowe dwojga klientów Warty. Urząd zażądał od niej wyjaśnień, a ta potwierdziła incydent. Wskazała jednak, że w jej ocenie przypadek ten nie wymaga zawiadomienia, bo do naruszenia poufności danych doszło z winy klienta, a omyłkowy odbiorca maila został przez ubezpieczyciela poproszony o trwałe usunięcie dokumentu.

Urząd był jednak innego zdania i wszczął postępowanie wobec Warty, która dopiero wtedy – po pięciu miesiącach od zdarzenia – zawiadomiła UODO o incydencie. Ten uznał to za zbędną zwłokę i w konsekwencji nałożył na ubezpieczyciela prawie 85,6 tys. zł kary. W ocenie organu nadzorczego administrator danych powinien mieć świadomość ryzyk związanych z nieprawidłowym podaniem przez klienta adresu e-mail i zmniejszać to ryzyko, np. weryfikując adres czy szyfrując dokumenty.

Przeczytajcie także: • Jak ubezpieczyciele uzdalniali sprzedaż w 2020 r.?

Przy okazji warto zwrócić uwagę, że sytuacja dotyczyła dokumentów ubezpieczenia komunikacyjnego, czyli nie znajdowały się w nich takie dane jak np. te o stanie zdrowia. Jak więc wynika z decyzji UODO, wysoki poziom ryzyka dla praw i wolności osób fizycznych występuje już przy ujawnieniu danych takich jak imię, nazwisko, adres i PESEL.