bg
Chcę wiedzieć o...
Strona główna
Artykuły
Kolejny brak zgłoszenia naruszenia danych osobowych i kara dla operatora telekomunikacyjnego

Kolejny brak zgłoszenia naruszenia danych osobowych i kara dla operatora telekomunikacyjnego

Dodano: 2022-12-01
Publikator: Urząd Ochrony Danych Osobowych

UODO stwierdził naruszenie przepisów Prawa telekomunikacyjnego, które polegało na niezawiadomieniu organu nadzorczego o naruszeniu danych osobowych w terminie 24 godzin od wykrycia naruszenia danych osobowych. W grę wchodził także brak niezwłocznego powiadomienia o naruszeniu danych osobowych abonenta, którego dotyczyło naruszenie. W związku z tym UODO nałożył na P4 Sp. z o.o. karę pieniężną w wysokości 250 tys. złotych.

Do UODO wpłynęła informacja przekazana pocztą elektroniczną przez osobę trzecią. Wiadomość wskazywała, że osoba ta jest nieuprawnionym odbiorcą zestawu dokumentów dotyczących zawarcia umowy telekomunikacyjnej. W związku z tym UODO zwrócił się do spółki o udzielenie informacji dotyczących powyższego.

Spółka udzieliła odpowiedzi, z której wynikało, że oprócz danych niezbędnych do zawarcia umowy, klient wskazał do kontaktu również numer telefonu oraz adres e-mail. Podczas procesu zawarcia umowy została wygenerowana wiadomość e-mail zawierająca kopię umowy wraz z załącznikami, a następnie została ona wysłana na adres wskazany przez klienta. Ponadto administrator oświadczył, że klient wrócił do niego z informacją, że adres e-mail wskazany w umowie jest błędny i poprosił o jego usunięcie. Firma przyznała, że można nie realizować wysyłki dokumentów za pośrednictwem poczty elektronicznej oznaczając specjalne pole w systemie sprzedażowym, czego jednak pracownik administratora nie dokonał – nie odznaczył tego pola i dlatego e-mail z kopiami dokumentów został wysłany.

W ocenie spółki nie było podstaw do traktowania zdarzenia jako naruszenia danych osobowych. W związku z tym naruszenie nie zostało zgłoszone do UODO oraz nie powiadomiono o nim abonenta.

Po otrzymaniu przez spółkę zawiadomienia od UODO o wszczęciu postępowania administracyjnego, administrator przesłał do organu nadzorczego zgłoszenie naruszenia danych osobowych wraz z treścią listownego powiadomienia abonenta o naruszeniu ochrony jego danych osobowych.

Natomiast zgodnie z przepisami Prawa telekomunikacyjnego, dostawca publicznie dostępnych usług telekomunikacyjnych zawiadamia UODO o naruszeniu ochrony danych osobowych nie później niż 24 godziny po wykryciu takiego naruszenia. A w przypadku, gdy naruszenie ochrony danych osobowych może mieć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, dostawca publicznie dostępnych usług telekomunikacyjnych niezwłocznie zawiadamia o takim naruszeniu również abonenta lub użytkownika końcowego.

Zarówno w  przypadku obowiązku zawiadomienia organu nadzorczego, jak i obowiązku powiadomienia abonenta ważny jest moment wykrycia naruszenia. Uznaje się, że doszło do wykrycia naruszenia ochrony danych osobowych, gdy dostawca uzyskał wystarczającą wiedzę o zaistnieniu zdarzenia naruszającego ochronę, które doprowadziło do naruszenia ochrony danych osobowych, w celu przekazania powiadomienia zgodnie z wymogami wynikającymi z właściwych przepisów.

W ocenie UODO zakres naruszenia, czas jego trwania oraz jego skutki uzasadniają konieczność nałożenia na spółkę kary pieniężnej. Rozpatrywane w ramach postępowania administracyjnego zawiadomienie organu nadzorczego o naruszeniu ochrony danych osobowych po upływie 24 godzin od jego wykrycia nie było pierwszym takim przypadkiem w dotychczasowej działalności administratora, co miało wpływ na wymierzoną karę pieniężną.

Artykuły powiązane

Udostępnienie pracowników innej firmie jest z VAT, nawet jeśli było to nieodpłatne

Wojewódzki Sąd Administracyjny w Łodzi, w wyroku z 25 września 2024 r. (sygn. akt I SA/Łd 506/24), stwierdził, że nieodp...

Naruszenie RODO – czy zawsze obowiązuje kara finansowa?

Trybunał Sprawiedliwości Unii Europejskiej (TSUE) w wyroku z 26 września 2024 r. (sygn. C-768/21) orzekł, że organ ochr...

Podejrzenie popełnienia przestępstwa nie wystarcza do dyscyplinarki

Sąd Okręgowy w Sieradzu, w wyroku z 10 lipca 2024 r. (sygn. akt IV Pa 80/24), orzekł, że pracodawca może rozw...