Poljsko nadzorno tijelo je u lipnju 2021. g. kaznilo osiguravajuće društvo s otprilike 35.387,00 EUR jer nije obavijestilo nadzorno tijelo o povredi osobnih podataka, te jer o istome nije obavijestilo ispitanike.
Do povrede osobnih podataka došlo je na način da je osiguravajuće društvo slalo e-mailove koji su sadržavali identifikacijske podatke pogrešnim primateljima. Sporni e-mailovi su sadržavali analizu potreba osiguranja i ponudu osiguranja s drugim podacima o predmetu osiguranja, kao i imenom i prezimenom ispitanika, te mjestom stanovanja ispitanika.
Osiguravajuće društvo je provelo procjenu rizika za prava i slobode pojedinaca koji proizlaze iz povrede, na temelju koje je zaključilo da nije dužno prijaviti povredu podataka niti nadzornom tijelu, niti obavijestiti ispitanike o povredi podataka.
Međutim, nadzorno tijelo zaključilo je da je osiguravajuće društvo bilo u obvezi prijaviti predmetnu povredu osobnih podataka, kao i obavijestiti ispitanike, te je stoga kaznilo osiguravajuće društvo zbog povrede čl. 33. i čl. 34. GDPR-a.
Nadzorno tijelo u obrazloženju je navelo da predmetna povreda predstavlja visoki rizik od povrede prava ili sloboda fizičkih osoba, a koji rizik postoji kada postoji vjerojatnost da će povreda dovesti do štete, primjerice diskriminacije, krađe ili krivotvorenja identiteta, financijskog gubitka, štete ugledu, te se takva povreda podataka stoga svakako mora prijaviti.
Više o slučaju
https://gdprhub.eu/index.php?title=UODO_(Poland)_-_DKN.5131.3.2021