Den polska dataskyddsmyndigheten finner att en polsk bostadsrättsförening har begått en överträdelse av GDPR genom att inte informera myndigheten om en medveten personuppgiftsincident. Den registrerade var besviken på sin bostadsrättsförening och startade en mediakampanj mot denna. Föreningen ansåg att kampanjen var baserat på felaktig information och skadade deras rykte. Som svar på kampanjen kallade därför föreningen till en presskonferens där ledaren berättade för journalisterna att personen i fråga var misstänkt för brott och visade upp ett meddelande om misstanke innehållande dennes namn, adress samt personnummer. En av de närvarande journalisterna anmälde incidenten till dataskyddsmyndigheten.
Som svar till dataskyddsmyndigheten menar föreningen att avslöjande av information till journalister är i enlighet med polsk lag. Föreningens dataskyddsombud hade även konstaterat att spridningen inte skulle medföra några risker för den registrerade och därför behövde det inte anmälas till myndigheten.
Även om offentliggörandet av personuppgifterna gjordes medvetet menar dataskyddsmyndigheten att de utgör en personuppgiftsincident. I enlighet med GDPR var därför föreningen skyldig att anmäla incidenten. Myndigheten menar att spridandet av uppgifterna var av hög risk för den registrerade och kunde användas för bedrägeri. Föreningen begick en överträdelse av GDPR genom att inte informera dataskyddsmyndigheten eller den registrerade om personuppgiftsincidenten. Av denna anledning utfärdar den polska dataskyddsmyndigheten en straffavgift på €11,534.
