Ett företag i Polen fick en sanktionsavgift eftersom det inte anmälde personuppgiftsincidenter i tid, vilket skedde av ett mänskligt misstag. Anmälan skulle ske inom 24 timmar från upptäckten av incidenten, men den blev inlämnad till dataskyddsmyndigheten senare. Orsaken till varför tidsfristen är så kort, är för att dataskyddsmyndigheten ska kunna agera snabbt i de fall personuppgiftsincidenten till exempel kan leda till identitetsstöld, bedrägerier eller liknande.
Företag i Polen anmälde inte personuppgiftsincidenter i tid till den nationella dataskyddsmyndigheten
I detta fall, bröt företaget mot the provisions of the telecommunications law and the Commission Regulation No 611/2013, där det bland annat framgår att personuppgiftsincidenter som ska bli rapporterade, måste bli det inom 24 timmar. Det var inte heller bara en personuppgiftsincident som inte blev rapporterad i tid, utan totalt fem stycken incidenter. Detta var något som den Polska dataskyddsmyndigheten tog i beaktande i sitt beslut.
Företaget hade också rapporterat till dataskyddsmyndigheten på ett inkorrekt sätt. De hade skickat anmälningarna via en postoperatör, som krävde dess anställdas involvering i högre grad, trots att dataskyddsmyndigheten hade informerat företaget om att de borde skicka in anmälningarna elektroniskt. Myndigheten påpekade att det gick snabbast att göra en anmälan via myndighetens webbplats eller plattformen ePUAP.
Företaget fick betala en sanktionsavgift för att de bland annat inte anmälde personuppgiftsincidenter i tid
Konsekvensen för företaget som inte anmälde personuppgiftsincidenten i tid till den Polska dataskyddsmyndigheten blev en sanktionsavgift. Sanktionsavgiften uppgick till 100 000 Polish złoty. Det maximala beloppet som ett företag kan få i sanktionsavgift är 20 miljoner euro eller 4 procent av den totala årsomsättningen (det högsta av alternativen). Med andra ord kan en sanktionsavgift få förödande ekonomiska konsekvenser för ett företag.
Regler i GDPR gällande rapportering av incidenter till den nationella dataskyddsmyndigheten
Enligt GDPR ska företag vid vissa typer av personuppgiftsincidenter rapportera dem till den nationella dataskyddsmyndigheten. Anmälan av personuppgiftsincidet ska då ske inom 72 timmar från och med upptäckten enligt artikel 33 i GDPR. Däremot kan det i vissa undantagsfall vara tillåtet att rapportera det efter 72 timmar. Vid sådana fall måste företaget kunna motivera beslutet. Till exempel om det inträffar många personuppgiftsincidenter samtidigt som har olika orsaker. Observera att företaget kan komplettera sin rapport i efterhand.