Un agent d'assurance engagé par le responsable du traitement avait envoyé un courrier électronique à des tiers non autorisés concernant des polices d'assurance contenant des données personnelles de deux des clients de la société après avoir fourni par erreur de fausses adresses électroniques. Les données divulguées comprenaient des données telles que les noms, adresses e-mail et adresses postales des personnes concernées. Le responsable du traitement n'avait informé ni la DPA polonaise ni les personnes concernées de la violation de données en temps opportun dans les 72 heures. Le responsable du traitement a estimé qu'il n'y avait pas de violation nécessitant une notification car les personnes concernées elles-mêmes avaient fourni par erreur des adresses e-mail incorrectes. La DPA polonaise déclare que cette circonstance ne libère pas le responsable du traitement de son obligation de signaler cette violation de données en temps opportun.