Druga kara UODO dla firmy telekomunikacyjnej za spóźnione zgłoszenie naruszenia
Od momentu wykrycia naruszenia ochrony danych firma telekomunikacyjna ma jedynie 24 godziny, by zgłosić naruszenie ochrony danych. Za niedotrzymanie tego terminu grożą kary pieniężne, o czym już dwukrotnie przekonała się P4 sp. z o.o. Szczegóły w artykule.
Korespondencja e-mail trafiła do niewłaściwej osoby
Sprawa rozpoczęła się od sygnalizacji ze strony klienta, który otrzymał zestaw dokumentów z umową telekomunikacyjną mimo że te dokumenty jej nie dotyczyły. Innymi słowy korespondencja e-mail z danymi osobowymi trafiła do nieuprawnionej osoby. P4 Sp. z o.o. została więc wezwana do wyjaśnień, dlaczego nie zgłosiła naruszenia ochrony danych i umożliwiła dostęp nieuprawnionej osobie do danych osobowych.
Spółka zgłosiła naruszenie po wszczęciu postępowania
Z wyjaśnień spółki wynikało, że klient wskazał numer telefonu i adres e-mail do kontaktu. Następnie wygenerowano wiadomość e-mail z kopią umowy i wysłano na podany adres e-mail. W dalszej kolejności spółka otrzymała informację od tego klienta, że podał on błędny adres e-mail.
Spółka pierwotnie nie zgłosiła incydentu do Prezesa UODO ani podmiotu danych, ponieważ nie uznała go za naruszenie ochrony danych.
Zgłoszenia takie nastąpiły dopiero po zawiadomieniu spółki przez organ nadzorczy o wszczęciu postępowania.
Krótszy termin zgłaszania naruszeń dla firm telekomunikacyjnych
Warto przypomnieć, że zgłoszenia naruszenia ODO dokonywane przez firmy telekomunikacyjne są odjęte odrębnymi, krótszymi terminami. Zgłoszenia do Prezesa UODO należy dokonać w ciągu 24 godzin od dnia wykrycia naruszenia.
Rada dla ADO
Termin zgłoszenia naruszenie ODO w przypadku firmy telekomunikacyjnej zależy od momentu wykrycia incydentu. Wykrycie takie następuje w momencie, gdy firma uzyskała wiedzę o zaistnieniu zdarzenia naruszającego ochronę, które doprowadziło do naruszenia ochrony danych osobowych – wystarczającą, by dokonać zgłoszenia.
Z kolei zawiadomienie podmiotów danych o zdarzeniu jest konieczne, gdy naruszenie to może mieć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną. Zawiadomienia dokonuje się wówczas niezwłocznie.
Zgłoszenie naruszenia było zdecydowanie spóźnione
Jak wskazał Prezes UODO, administrator dowiedział się o incydencie już w momencie, gdy klient poinformował go, że wskazany przez niego adres e-mail jest nieprawidłowy. W ocenie organu nadzorczego ta informacja wystarczyła do stwierdzenia, że doszło do naruszenia ochrony danych i od tego momentu biegł już 24-godzinny termin na zgłoszenie naruszenia. Tymczasem zgłoszenie naruszenia do Prezesa UODO i powiadomienie podmiotu danych nastąpiło ze znacznym opóźnieniem.
Firma telekomunikacyjna musi zapłacić 250 tys. zł
Dlatego właśnie P4 sp. z o.o. wymierzono karę pieniężną w wysokości 250 tys. zł. Orzeczenie to jest oczywiście nieprawomocne i nie można wykluczyć jego zaskarżenia do Wojewódzkiego Sądu Administracyjnego w Warszawie.
Nie była to pierwsza kara wymierzona spółce P4 sp. z o.o., co zresztą miało wpływ na wymiar sankcji. Przeczytaj także: P4 ukarana za nieterminowe zgłoszenie>>
- decyzja Prezesa UODO z 3 listopada 2022 r. (DKN.5131.18.2022)
- Kara za przetwarzanie danych osobowych w rozmowach telefonicznych bez podstawy prawnej
- Informacja publiczna na wniosek dziennikarza – czy podlega anonimizacji
- Pozyskanie zaświadczenia o niekaralności z Krajowego Rejestru Karnego może skutkować naruszeniem RODO
- Santander Bank Polska z wysoką karą UODO za niezgłoszenie naruszenia ochrony danych
- Zwalczanie nadużyć w komunikacji elektronicznej – nowe zadania firm telekomunikacyjnych
- Linie lotnicze nie informują o usunięciu danych osobowych
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
