P4 ukarana za nieterminowe zgłoszenie
Kara w wysokości 100 tys. zł została wymierzona spółce P4 za nieterminowe zawiadomienie Prezesa UODO o naruszeniu ochrony danych. Dla spółki tej obowiązywał skrócony 24-godzinny termin na takie zgłoszenie
24 godziny na zgłoszenie naruszenia w branży telekomunikacyjnej
Nie dokonując terminowego zgłoszenia, P4 sp. z o.o. naruszyła przepisy rozporządzenia Komisji (UE) nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej. Przepisy te uzupełnione o regulacje krajowego Prawa telekomunikacyjnego obligują do zgłoszenia naruszenia ochrony danych organowi nadzorczemu w terminie 24 godzin od jego wykrycia. Oprócz organu nadzorczego o zdarzeniu należy powiadomić także abonenta lub użytkownika końcowego, którego dane zostały naruszone.
Krótszy termin zgłaszania naruszeń w branży telekomunikacyjnej wiąże się z koniecznością ochrony praw i wolności podmiotów danych. Chodzi tu np. o sytuacje, w których naruszenie może prowadzić do kradzieży tożsamości, straty finansowej czy też naruszenia tajemnic prawnie chronionych. Takie sytuacje mogą mieć miejsce, gdy zakres ujawnionych danych obejmuje np. informacje widniejące w dowodach tożsamości, a więc nie tylko imię i nazwisko, ale nr PESEL, nr dokumentu, adres.
Uchybienia takie dotyczyły spóźnionego zgłoszenia naruszenia ochrony danych z października 2020 r. a także grudnia 2020 r. Spółka zgłosiła je jednocześnie i wszystkie zgłoszenia były dotknięte opóźnieniem. Jak wskazywała spółka, było to wynikiem nieumyślnego błędu pracowników kancelarii odpowiedzialnych za wysyłkę korespondencji. Polegał on m.in. na niewpisaniu korespondencji do książki nadawczej, czego efektem był jej zwrot przez operatora pocztowego.
Źle zorganizowany proces zgłaszania naruszeń przyczyną ukarania spółki
Prezes UODO w swej decyzji nie uznał tych argumentów za uzasadnione. Podkreślił bowiem, że zawiadomienia objęte postępowaniem nie był jakie spółka składała do organu nadzorczego po upływie 24 godzin od jego wykrycia. Poza tym PUODO wielokrotnie kierował do spółki pisma o złożenie wyjaśnień dotyczących zgłaszania naruszeń po upływie terminu. Spółka otrzymywała tez wyjaśnienia, że zgłoszeń można dokonywać także drogą elektroniczną - za pośrednictwem platformy biznes.gov.pl lub platformy ePUAP, co zapewnia dotrzymanie terminu określonego w rozporządzeniu 611/2013.
Tymczasem, jak wskazał organ nadzorczy, spółka nie zmieniła sposobu organizacji wysyłki korespondencji dotyczącej zawiadomień o naruszeniach danych osobowych kierowanych do UODO, nadal wysyłając ją za pośrednictwem operatora pocztowego, co wymagało zaangażowania w ten proces m.in. pracowników kancelarii odpowiedzialnych za jej wysyłkę. Innymi słowy proces wysyłania zawiadomień o zgłoszeniu naruszenia był w spółce zorganizowany nieprawidłowo.
-
Strona internetowa UODO (uodo.gov.pl)
Orzeczenie:
-
Decyzja Prezesa UODO z 8 czerwca 2021 r. (DKN.5131.10.2020)
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
