Den polska banken Toyota bank skickade av misstag ett brev med en kunds personuppgifter, inklusive fullständiga namn, låneavtal, personnummer och kontonummer, till fel klient. Personen som fick det felskickade brevet öppnade det och skickade sedan tillbaka brevet till banken som skickade en brevbärare. Banken registrerade incidenten och genomförde en riskbedömning. Då incidenten endast rörde en individ och var snabbt åtgärdat med kundens hjälp, ansåg banken att incidenten klassificerades med en låg risknivå. Av denna anledning informerade inte banken den polska dataskyddsmyndigheten om personuppgiftsincidenten.
Dataskyddsmyndigheten fick in ett klagomål från den drabbade kunden gällande incidenten. Myndigheten hävdade att bankens riskbedömning var felaktig. De konstaterar att det rörde sig om känsliga personuppgifter som kunde användas i bedrägeri och skada den registrerade. Kunden som fick informationen kan inte heller ha ansetts vara en trovärdig part eftersom banken omöjligt hade kunnat förutse hur personen skulle agera. Av dessa anledningar ska risken ha bedömts vara högre än banken ansåg. Av denna anledning skulle dataskyddsmyndigheten ha underrättats om incidenten. På grund av denna överträdelse utfärdade därför den polska dataskyddsmyndigheten en straffsanktion på €18,000 till banken.
