Prezes UODO opublikował kolejną decyzję, w której nakłada na P4 Sp. z o.o. z siedzibą w Warszawie karę w wysokości 250.000 zł. O co chodziło w sprawie?
Czego dotyczyło naruszenie?
Naruszenie polegało na niezawiadomieniu Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu danych osobowych w terminie 24 godzin od wykrycia naruszenia danych osobowych oraz braku niezwłocznego powiadomienia o naruszeniu danych osobowych abonenta, którego dotyczyło naruszenie.
Jaka została nałożona kara?
Prezes UODO nałożył administracyjną karę pieniężną w wysokości 250.000 zł.
Dlaczego została nałożona kara?
Podstawą naruszenia był brak zawiadomienia o naruszeniu Prezesa UODO, jak również osoby, której dotyczyło to naruszenie. Naruszenie to polegało na wysłaniu umowy operatora z abonentem na nieprawidłowy adres e-mail. Nieprawidłowość tego adresu zgłosił sam klient, mimo tego umowa została wysłana do nieprawidłowego adresata.
Administrator postanowił o niezawiadamianiu o sytuacji Prezesa UODO i abonenta, którego dotyczyła umowa. Z decyzją tą nie zgodził się Prezes UODO uznając, że w wyniku tych zdarzeń zaistniało ryzyko wykorzystania danych osobowych abonenta, zaś brak poinformowania go o sytuacji uniemożliwił klientowi reakcję i podjęcie działań zmierzających do ograniczenia potencjalnych negatywnych skutków.
Należy przypomnieć, że Prezes UODO prowadził już podobne postępowanie wobec administratora, a dostawca publicznie dostępnych usług telekomunikacyjnych powinien zgłosić naruszenie w terminie 24 godzin od wykrycia naruszenia.
Wymierzając karę Prezes UODO wziął pod uwagę takie elementy jak:
- czas trwania naruszenia;
- szeroki zakres danych, których dotyczyło naruszenie – dane zawarte w umowie mogły zostać wykorzystane w sposób nieuprawniony, np. skutkujący stratą finansową;
- skutki naruszenia – wprawdzie nie zaistniały skutki finansowe, ale abonent nie miał możliwości podjęcia reakcji, co wynikało z braku informacji o naruszeniu;
Okolicznościami łagodzącymi były:
- nieumyślność – brak zawiadomienia wynikał z nieprawidłowej procedury, a nie intencji administratora;
- zawiadomienie o naruszeniu Prezesa UODO i abonenta w trakcie postępowania;
- ilość osób dotkniętych naruszeniem – naruszenie dotyczyło tylko jednej osoby;
Wnioski?
- Każde naruszenie ochrony danych osobowych powinno zostać rzetelnie ocenione, a gdy wymaga tego sytuacja, zgłoszone do Prezesa UODO.
- Jeżeli wymaga tego sytuacja, o naruszeniu należy poinformować dotknięte nim osoby.
Link do decyzji: https://www.uodo.gov.pl/decyzje/DKN.5131.34.2021