fbpx

Incidens jelentésének elmulasztása

Incidens jelentésének elmulasztása

Nemzeti Adatvédelmi Testület, 2021. január 13. napján megjelent sajtóközleményében az alábbiakat jelentette meg: 

Kiszabott bírság: 85 588 PLN  (kb. 6.850.000,- Ft,)

Megsértett rendelet:  GDPR 5. cikke (1) bekezdésének f) pontját és 32. cikk

Az indoklás: 

A Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A. (WARTA S.A. biztosító és viszontbiztosító társaság) megsértette az általános adatvédelmi rendelet rendelkezéseit, mert a személyes adatok megsértéséről nem értesítette a Hatóságot. 

2020. májusában a Lengyel Személyes Adatvédelmi Iroda (UODO) egy harmadik féltől kapott információkat a személyes adatok megsértéséről. Történt ugyanis, hogy, WARTA SA Biztosító és Viszontbiztosító Társaság egyik ügynöke e-mailben illetéktelen címzettnek küldött el egy biztosítási kötvényt, amely dokumentum személyes adatokat tartalmazott, többek között név, vezetéknév, lakóhely címe, személyi azonosító számok, és a biztosítás tárgyára vonatkozó információk (személygépkocsi adatai).  Az értesítette a Hatóságot, aki megkapta illetéktelenül ezt a kötvényt. 

Ezért a felügyeleti hatóság felkérte a Társaságot annak tisztázására, hogy munkája során, miután nagy százalékban elektronikus formában tartják a kapcsolatot az ügyfelekkel, végeztek-e elemzést a természetes személyek jogait érintő kockázat kérdésében. Továbbá tájékoztatta a Hatóság a Társaságot a konkrét ügyről és magyarázatot kért. A Társaság elismerte a rossz e-mail címre történő kötvény kiküldést, de azzal indokolta, hogy az ügyfél adott meg rossz e-mail címet. A Társaság tudomást szerzett az eseményről, de nem látta szükségesnek az incidens jelentését. A Hatóság további magyarázatot kért, de miután ezt nem kapta meg, közigazgatási eljárást indított. A Társaság csak ezután jelentette be az ügyben megtörtént személyes adatok megsértését. A Hatóság miután a jogsértés megállapíthatóan hosszú időn át fennállt, súlyosbító körülményként értékelte ezt. Öt hónap telt el a személyes adatok megsértéséről való értesítéstől a személyes adatok megsértésének a felügyelet felé történő bejelentéséig

Az eljárás során az UODO úgy ítélte meg, hogy az a tény, hogy a jogsértés azért következett be, mert az ügyfél adta meg a hibás e-mail címet, nem mentesíti a Társaságot, s nem tehető ezáltal semmissé a személyes adatok megsértésének elkövetése. A hatóság kimondja, hogy az ügyféllel történő kontaktusfelvétel során meg kell bizonyosodni az adatok helyességében. Továbbá a kockázatok minimalizálása érdekében az adatkezelőnek megfelelő intézkedéseket kell tennie, úgy, mint ellenőriznie kell a személyes adatokat, továbbá az ilyen fontos személyes adatokat tartalmazó kötvényt titkosított dokumentumként, megfelelő jelszóval ellátva lehetne csak kiküldeni. Az incidenst követően kérték az illetéktelen személyt a kapott e-mail végleges törlésére, de nem lehet senki abban biztos, hogy ez megtörtént-e, avagy nem készült-e a kötvényről másolat.

A Hatóság a Társaság részére kiszabandó bírságot mérsékelte annak figyelembevételével, hogy ez a cselekmény csak egy személy felé történő rossz kiküldést eredményezett.   

A felügyeleti hatóság ezért a fent leírt esetben a súlyosbító és enyhítő körülmények figyelembe vétele után az eljárás lezárásaként 85 588 PLN összegű bírságot szabott ki a Társaságra, mivel ezzel a cselekménnyel a GDPR 5. cikke (1) bekezdésének f) pontját és 32. cikkét sértette meg.

Cikk: https://edpb.europa.eu/news/national-news_hu -2021-01-14.

Terka