Företag anmälde inte personuppgiftsincidenter i tid

Ett företag anmälde inte personuppgiftsincidenter i tid i Polen. Företaget upptäckte incidenten men gjorde inte anmälan inom 24 timmar från upptäckten enligt gällande telekommunikationslagar. När det sker en personuppgiftsincident, har den personuppgiftsansvarige enligt GDPR en skyldighet att göra en anmälan i vissa fall. Däremot gäller det inte varje typ av incident men i detta fall var företaget tvungna. Dessutom måste den presonuppgiftsansvarige skydda personuppgifterna som företaget behandlar på.

Företag anmälde inte personuppgiftsincidenter i tid 

Det var flera incidenter som inträffade där företaget dröjde med att göra en anmälan till tillsynsmyndigheten. Företaget förklarade bland annat att hur den anställde skulle skicka anmälan, men att denne gjorde ett misstag som inte var medvetet. Därmed uppstod förseningen av anmälan. Företaget fick en sanktionsavgift på grund av denna incident efter att den polska motsvarigheten till IMY granskade dem. 

Från en början ändrade inte företaget sina rutiner men gjorde det senare. Det är viktigt att ha högre säkerhet ju känsligare personuppgifterna är och är konsekvenserna kan bli stora vid brister (vad känsliga och integritetskänsliga personuppgifter är enligt GDPR). Det är skillnad på om ett förnamn eller kreditkortsnummer läcker. Sanktionsavgiften i detta ärendet blev 100 000 PLN, den polska valutan. 

Här kan du läsa mer om detta ärendet via European Data Protection Boards hemsida.