La DPA polonaise (UODO) a condamné Towarzystwo Ubezpieczeń i Reasekuracji WARTA SA à une amende de 18 930 EUR pour violation de l'art. 33 (1) RGPD et art. 34 (1) du RGPD. En mai 2020, la DPA a reçu une notification d'un tiers concernant une violation de données personnelles impliquant un agent d'assurance agissant en tant qu'agent de traitement pour Towarzystwo Ubezpieczeń i Reasekuracji WARTA SA qui a envoyé une police d'assurance à un destinataire non autorisé par courrier électronique. Le document contenait des données personnelles concernant, entre autres, les noms, prénoms, adresses résidentielles et des informations au sujet de la police d'assurance. En conséquence, l'autorité de contrôle a demandé au responsable du traitement de clarifier si, en ce qui concerne l'envoi de la correspondance électronique à un destinataire non autorisé, une analyse des risques sur la sécurité des données des personnes physiques avait été réalisée, ce qui est nécessaire pour évaluer si une violation de données s'était produit. Une telle violation nécessite une notification à la DPA et aux personnes concernées par la violation. Dans la lettre, l'autorité de contrôle a indiqué au responsable du traitement comment notifier l'infraction et lui a demandé des explications. Malgré la lettre demandant des explications, le responsable du traitement n'a pas signalé la violation de données ni informé les personnes concernées de l'incident. La DPA a donc engagé une procédure administrative. Ce n'est qu'à la suite de l'ouverture de la procédure que le responsable du traitement a signalé la violation de données à caractère personnel et informé deux personnes concernées par la violation.