Link4 Towarzystwo Ubezpieczeń S.A. zostało ukarane administracyjną karą pieniężną w wysokości 103.752 tys. zł przez Prezesa Urzędu Ochrony Danych Osobowych (UODO) za niezgłoszenie naruszenia ochrony danych osobowych w wymaganym terminie. Firma nie powiadomiła UODO o incydencie, w którym dane osobowe klienta zostały wysłane do nieuprawnionego odbiorcy. Wysłana wiadomość e-mail zawierała dane takie jak imię, nazwisko, adres, informacje o samochodzie, numer polisy oraz szczegóły dotyczące szkody i odszkodowania.
Osoba trzecia, która otrzymała te dane, poinformowała firmę, lecz nie otrzymała odpowiedzi. Link4 przyznało, że było świadome incydentu, wskazując na „błąd ludzki” jako przyczynę. Ubezpieczyciel przeprowadził analizę ryzyka, wykorzystując metodologię ENISA i darmowy kalkulator, stwierdzając niskie ryzyko dla osób, których dane dotyczą. Jednak firma nie zgłosiła tego zdarzenia UODO, pomimo wewnętrznego rejestrowania incydentu.
UODO, nakładając karę, uwzględnił długi czas trwania naruszenia, jego umyślność, wcześniejsze naruszenia ochrony danych przez firmę oraz niewystarczającą współpracę z organem nadzorczym. Podkreślono, że Link4, jako zakład ubezpieczeń, ma szczególne obowiązki dotyczące ochrony informacji klientów.
UODO zaznaczył, że ocena ryzyka naruszenia danych powinna brać pod uwagę prawdopodobieństwo i wagę potencjalnych negatywnych skutków dla osób, których dane dotyczą, a nie tylko interesy administratora danych. Zgłoszenie naruszenia służy ochronie praw osób fizycznych oraz umożliwia organom nadzorczym weryfikację działań podejmowanych przez administratora danych w celu zaradzenia naruszeniu i minimalizacji jego negatywnych skutków.
