Przejdź do treści
Strona główna » Blog » Kara Prezesa UODO dla Play

Kara Prezesa UODO dla Play

Prezes UODO opublikował kolejną decyzję, w której nakłada na P4 Sp. z o.o. z siedzibą w Warszawie karę w wysokości 250.000 zł. O co chodziło w sprawie?

Czego dotyczyło naruszenie?

Naruszenie polegało na niezawiadomieniu Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu danych osobowych w terminie 24 godzin od wykrycia naruszenia danych osobowych oraz braku niezwłocznego powiadomienia o naruszeniu danych osobowych abonenta, którego dotyczyło naruszenie.

Jaka została nałożona kara?

Prezes UODO nałożył administracyjną karę pieniężną w wysokości 250.000 zł.

Dlaczego została nałożona kara?

Podstawą naruszenia był brak zawiadomienia o naruszeniu Prezesa UODO, jak również osoby, której dotyczyło to naruszenie. Naruszenie to polegało na wysłaniu umowy operatora z abonentem na nieprawidłowy adres e-mail. Nieprawidłowość tego adresu zgłosił sam klient, mimo tego umowa została wysłana do nieprawidłowego adresata.

Administrator postanowił o niezawiadamianiu o sytuacji Prezesa UODO i abonenta, którego dotyczyła umowa. Z decyzją tą nie zgodził się Prezes UODO uznając, że w wyniku tych zdarzeń zaistniało ryzyko wykorzystania danych osobowych abonenta, zaś brak poinformowania go o sytuacji uniemożliwił klientowi reakcję i podjęcie działań zmierzających do ograniczenia potencjalnych negatywnych skutków.

Należy przypomnieć, że Prezes UODO prowadził już podobne postępowanie wobec administratora, a dostawca publicznie dostępnych usług telekomunikacyjnych powinien zgłosić naruszenie w terminie 24 godzin od wykrycia naruszenia.

Wymierzając karę Prezes UODO wziął pod uwagę takie elementy jak:
  • czas trwania naruszenia;
  • szeroki zakres danych, których dotyczyło naruszenie – dane zawarte w umowie mogły zostać wykorzystane w sposób nieuprawniony, np. skutkujący stratą finansową;
  • skutki naruszenia – wprawdzie nie zaistniały skutki finansowe, ale abonent nie miał możliwości podjęcia reakcji, co wynikało z braku informacji o naruszeniu;
Okolicznościami łagodzącymi były:
  • nieumyślność – brak zawiadomienia wynikał z nieprawidłowej procedury, a nie intencji administratora;
  • zawiadomienie o naruszeniu Prezesa UODO i abonenta w trakcie postępowania;
  • ilość osób dotkniętych naruszeniem – naruszenie dotyczyło tylko jednej osoby;
Wnioski?
  • Każde naruszenie ochrony danych osobowych powinno zostać rzetelnie ocenione, a gdy wymaga tego sytuacja, zgłoszone do Prezesa UODO.
  • Jeżeli wymaga tego sytuacja, o naruszeniu należy poinformować dotknięte nim osoby.

Link do decyzji: https://www.uodo.gov.pl/decyzje/DKN.5131.34.2021

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *