Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 18 października 2023 r., sygn. DKN.5131.55.2022

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2023 r., poz. 775, ze zm.), art. 7 ust. 1 oraz art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), a także art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. i), art. 83 ust. 1 i 2, art. 83 ust. 4 lit. a) w związku z art. 33 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str.2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej „rozporządzeniem 2016/679”, po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez Link4 Towarzystwo Ubezpieczeń S.A. z siedzibą wWarszawie (ul. Postępu 15, 02-676 Warszawa), Prezes Urzędu Ochrony Danych Osobowych,

stwierdzając naruszenie przez Link4 Towarzystwo Ubezpieczeń S.A. z siedzibą w Warszawie (ul. Postępu 15, 02-676 Warszawa) przepisu art. 33 ust. 1 rozporządzenia 2016/679, polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, nakłada na Link4 Towarzystwo Ubezpieczeń S.A. z siedzibą w Warszawie (ul. Postępu 15, 02-676 Warszawa) administracyjną karę pieniężną w wysokości 103.752,- PLN (słownie: sto trzy tysiące siedemset pięćdziesiąt dwa złote).

Uzasadnienie

Do Prezesa Urzędu Ochrony Danych Osobowych, zwanego dalej również „Prezesem UODO” lub „organem nadzorczym”, dnia 28 kwietnia 2022 r. wpłynęła od osoby trzeciej informacja wskazująca na udostępnienie jej - jako osobie nieuprawnionej - potwierdzenia przyznania odszkodowania z dnia 19 maja 2021 r., które ujawniało dane osobowe w postaci: imienia, nazwiska, adresu do korespondencji osoby wskazanej w tym zawiadomieniu, zwanej dalej: „Podmiotem Danych”, przez Link4 Towarzystwo Ubezpieczeń S.A. z siedzibą w Warszawie (ul. Postępu 15, 02-676 Warszawa), zwaną dalej „Administratorem” lub „Spółką”. W dokumencie tym, przesłanym do nieuprawnionego odbiorcy w dniu 28 października 2021 r. jako załącznik do wiadomości e-mail, znajdowały się również dane dotyczące marki i modelu samochodu, którego dotyczyła zaistniała szkoda, jego numeru rejestracyjnego, a ponadto wskazano w nim: numer polisy, numer szkody oraz jej wartość, a także kwotę uznanego roszczenia. Osoba trzecia, która stała się nieuprawnionym odbiorcą ww. dokumentu, wyjaśniła, że przekazała Administratorowi informację o fakcie otrzymania przez nią dokumentu zawierającego cudze dane, lecz jak wskazała - nie dostała odpowiedzi.

W związku z powyższym, pismem z 29 kwietnia 2022 r. Prezes UODO, na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679, zwrócił się do Administratora m.in. o wyjaśnienie, czy wiedział o zaistnieniu ww. zdarzenia, a także czy w związku z ww. sytuacją dokonana została analiza zdarzenia pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO oraz osób, których dotyczy naruszenie. W piśmie tym zawarto również m.in. informacje o treści art. 33 ust. 1 i 3 rozporządzenia 2016/679 oraz o możliwych sposobach dokonania zgłoszenia naruszenia ochrony danych osobowych.