UODO stwierdził naruszenie przepisów Prawa telekomunikacyjnego, które polegało na niezawiadomieniu organu nadzorczego o naruszeniu danych osobowych w terminie 24 godzin od wykrycia naruszenia danych osobowych. W grę wchodził także brak niezwłocznego powiadomienia o naruszeniu danych osobowych abonenta, którego dotyczyło naruszenie. W związku z tym UODO nałożył na P4 Sp. z o.o. karę pieniężną w wysokości 250 tys. złotych.
Do UODO wpłynęła informacja przekazana pocztą elektroniczną przez osobę trzecią. Wiadomość wskazywała, że osoba ta jest nieuprawnionym odbiorcą zestawu dokumentów dotyczących zawarcia umowy telekomunikacyjnej. W związku z tym UODO zwrócił się do spółki o udzielenie informacji dotyczących powyższego.
Spółka udzieliła odpowiedzi, z której wynikało, że oprócz danych niezbędnych do zawarcia umowy, klient wskazał do kontaktu również numer telefonu oraz adres e-mail. Podczas procesu zawarcia umowy została wygenerowana wiadomość e-mail zawierająca kopię umowy wraz z załącznikami, a następnie została ona wysłana na adres wskazany przez klienta. Ponadto administrator oświadczył, że klient wrócił do niego z informacją, że adres e-mail wskazany w umowie jest błędny i poprosił o jego usunięcie. Firma przyznała, że można nie realizować wysyłki dokumentów za pośrednictwem poczty elektronicznej oznaczając specjalne pole w systemie sprzedażowym, czego jednak pracownik administratora nie dokonał – nie odznaczył tego pola i dlatego e-mail z kopiami dokumentów został wysłany.
W ocenie spółki nie było podstaw do traktowania zdarzenia jako naruszenia danych osobowych. W związku z tym naruszenie nie zostało zgłoszone do UODO oraz nie powiadomiono o nim abonenta.
Po otrzymaniu przez spółkę zawiadomienia od UODO o wszczęciu postępowania administracyjnego, administrator przesłał do organu nadzorczego zgłoszenie naruszenia danych osobowych wraz z treścią listownego powiadomienia abonenta o naruszeniu ochrony jego danych osobowych.
Natomiast zgodnie z przepisami Prawa telekomunikacyjnego, dostawca publicznie dostępnych usług telekomunikacyjnych zawiadamia UODO o naruszeniu ochrony danych osobowych nie później niż 24 godziny po wykryciu takiego naruszenia. A w przypadku, gdy naruszenie ochrony danych osobowych może mieć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, dostawca publicznie dostępnych usług telekomunikacyjnych niezwłocznie zawiadamia o takim naruszeniu również abonenta lub użytkownika końcowego.
Zarówno w przypadku obowiązku zawiadomienia organu nadzorczego, jak i obowiązku powiadomienia abonenta ważny jest moment wykrycia naruszenia. Uznaje się, że doszło do wykrycia naruszenia ochrony danych osobowych, gdy dostawca uzyskał wystarczającą wiedzę o zaistnieniu zdarzenia naruszającego ochronę, które doprowadziło do naruszenia ochrony danych osobowych, w celu przekazania powiadomienia zgodnie z wymogami wynikającymi z właściwych przepisów.
W ocenie UODO zakres naruszenia, czas jego trwania oraz jego skutki uzasadniają konieczność nałożenia na spółkę kary pieniężnej. Rozpatrywane w ramach postępowania administracyjnego zawiadomienie organu nadzorczego o naruszeniu ochrony danych osobowych po upływie 24 godzin od jego wykrycia nie było pierwszym takim przypadkiem w dotychczasowej działalności administratora, co miało wpływ na wymierzoną karę pieniężną.