bg
Chcę wiedzieć o...
Strona główna
Artykuły
Kolejny brak zgłoszenia naruszenia danych osobowych i kara dla operatora telekomunikacyjnego

Kolejny brak zgłoszenia naruszenia danych osobowych i kara dla operatora telekomunikacyjnego

Dodano: 2022-12-01
Publikator: Urząd Ochrony Danych Osobowych

UODO stwierdził naruszenie przepisów Prawa telekomunikacyjnego, które polegało na niezawiadomieniu organu nadzorczego o naruszeniu danych osobowych w terminie 24 godzin od wykrycia naruszenia danych osobowych. W grę wchodził także brak niezwłocznego powiadomienia o naruszeniu danych osobowych abonenta, którego dotyczyło naruszenie. W związku z tym UODO nałożył na P4 Sp. z o.o. karę pieniężną w wysokości 250 tys. złotych.

Do UODO wpłynęła informacja przekazana pocztą elektroniczną przez osobę trzecią. Wiadomość wskazywała, że osoba ta jest nieuprawnionym odbiorcą zestawu dokumentów dotyczących zawarcia umowy telekomunikacyjnej. W związku z tym UODO zwrócił się do spółki o udzielenie informacji dotyczących powyższego.

Spółka udzieliła odpowiedzi, z której wynikało, że oprócz danych niezbędnych do zawarcia umowy, klient wskazał do kontaktu również numer telefonu oraz adres e-mail. Podczas procesu zawarcia umowy została wygenerowana wiadomość e-mail zawierająca kopię umowy wraz z załącznikami, a następnie została ona wysłana na adres wskazany przez klienta. Ponadto administrator oświadczył, że klient wrócił do niego z informacją, że adres e-mail wskazany w umowie jest błędny i poprosił o jego usunięcie. Firma przyznała, że można nie realizować wysyłki dokumentów za pośrednictwem poczty elektronicznej oznaczając specjalne pole w systemie sprzedażowym, czego jednak pracownik administratora nie dokonał – nie odznaczył tego pola i dlatego e-mail z kopiami dokumentów został wysłany.

W ocenie spółki nie było podstaw do traktowania zdarzenia jako naruszenia danych osobowych. W związku z tym naruszenie nie zostało zgłoszone do UODO oraz nie powiadomiono o nim abonenta.

Po otrzymaniu przez spółkę zawiadomienia od UODO o wszczęciu postępowania administracyjnego, administrator przesłał do organu nadzorczego zgłoszenie naruszenia danych osobowych wraz z treścią listownego powiadomienia abonenta o naruszeniu ochrony jego danych osobowych.

Natomiast zgodnie z przepisami Prawa telekomunikacyjnego, dostawca publicznie dostępnych usług telekomunikacyjnych zawiadamia UODO o naruszeniu ochrony danych osobowych nie później niż 24 godziny po wykryciu takiego naruszenia. A w przypadku, gdy naruszenie ochrony danych osobowych może mieć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, dostawca publicznie dostępnych usług telekomunikacyjnych niezwłocznie zawiadamia o takim naruszeniu również abonenta lub użytkownika końcowego.

Zarówno w  przypadku obowiązku zawiadomienia organu nadzorczego, jak i obowiązku powiadomienia abonenta ważny jest moment wykrycia naruszenia. Uznaje się, że doszło do wykrycia naruszenia ochrony danych osobowych, gdy dostawca uzyskał wystarczającą wiedzę o zaistnieniu zdarzenia naruszającego ochronę, które doprowadziło do naruszenia ochrony danych osobowych, w celu przekazania powiadomienia zgodnie z wymogami wynikającymi z właściwych przepisów.

W ocenie UODO zakres naruszenia, czas jego trwania oraz jego skutki uzasadniają konieczność nałożenia na spółkę kary pieniężnej. Rozpatrywane w ramach postępowania administracyjnego zawiadomienie organu nadzorczego o naruszeniu ochrony danych osobowych po upływie 24 godzin od jego wykrycia nie było pierwszym takim przypadkiem w dotychczasowej działalności administratora, co miało wpływ na wymierzoną karę pieniężną.

Artykuły powiązane

Meta ukarana 91 mln euro za naruszenie RODO.

Irlandzki organ ochrony danych (DPC) nałożył na Metę karę w wysokości 91 milionów euro za naruszenie przepisów RODO zwią...

Pracownica pojawiła się w pracy tylko raz, ale umowa była ważna

Sąd Okręgowy Warszawa-Praga w Warszawie, w wyroku z dnia 16 lipca 2024 roku (sygn. akt VII U 1229/23), stwierdził, że dz...

Brak określenia netto w ugodzie oznacza wypłatę brutto

W wyroku z 31 lipca 2024 r. (sygn. akt VII Pa 13/24), Sąd Okręgowy Warszawa–Praga orzekł, że w przypadku porozumienia mi...