P4 z karą w wysokości 100 tys. złotych

Prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę P4 administracyjną karę pieniężną w wysokości 100 tys. złotych za niezawiadomienie organu nadzorczego w terminie 24 godzin o wykryciu naruszenia danych osobowych.

Powodem nałożenia administracyjnej kary pieniężnej jest naruszenie przez spółkę przepisów Prawa telekomunikacyjnego oraz rozporządzenia Komisji  (UE) nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej. W świetle przepisów Prawa telekomunikacyjnego przedsiębiorca telekomunikacyjny- administrator danych - nie tylko musi chronić dane osobowe swoich klientów, ale także w przypadku stwierdzenia naruszenia bezpieczeństwa danych osobowych zobowiązany jest w szczególności powiadomić o tym organ ds. ochrony danych osobowych, a także abonenta lub użytkownika końcowego, którego dane zostały naruszone. Ponadto na mocy tych przepisów administrator danych jest zobowiązany do zawiadomienia organu nadzorczego o naruszeniu danych osobowych w terminie 24 godzin.

Niniejsza decyzja dotyczy uchybień w odniesieniu do zgłoszenia naruszenia danych z października 2020 roku oraz w odniesieniu do czterech zgłoszeń naruszeń danych z grudnia 2020 roku, które zostały wysłane jako jedna przesyłka do UODO. Zatem postępowaniem tym objęto łącznie pięć naruszeń danych osobowych, zgłoszonych po upływie 24 godzin od ich wykrycia.

Spółka w postępowaniu wyjaśniła, że dokonanie zawiadomień o naruszeniu danych osobowych po upływie 24 godzin związane było z nieumyślnym błędem pracowników kancelarii odpowiedzialnych za wysyłkę korespondencji. Błąd ten polegał m.in. na niewpisaniu korespondencji do książki nadawczej, czego efektem był jej zwrot przez operatora pocztowego.

Należy jednak odnotować, że naruszenie terminu zgłoszenia incydentów bezpieczeństwa ochrony danych nie ma charakteru jednorazowego. Zawiadomienia te nie były pierwszymi, jakie spółka składała do organu nadzorczego po upływie 24 godzin od jego wykrycia. UODO niejednokrotnie też kierował do spółki pisma o złożenie wyjaśnień dotyczących zgłaszania naruszeń po upływie terminu.

UODO kilkukrotnie informował spółkę, że zgłoszenia naruszenia danych osobowych można dokonać na dwa sposoby: elektronicznie oraz pocztą tradycyjną, a także wskazywał, że najszybszą drogą jest wysłanie zgłoszenia za pośrednictwem platformy biznes.gov.pl lub platformy ePUAP, co zapewnia dotrzymanie terminu określonego w rozporządzeniu 611/2013.

Spółka nie wyciągnęła żadnych wniosków, a w szczególności nie zmieniła sposobu organizacji wysyłki korespondencji dotyczącej zawiadomień o naruszeniach danych osobowych kierowanych do UODO, nadal wysyłając ją za pośrednictwem operatora pocztowego, co wymagało zaangażowania w ten proces m.in. pracowników kancelarii odpowiedzialnych za jej wysyłkę. Konsekwencją były w szczególności błędy tych pracowników, skutkujące nie dotrzymaniem przez spółkę ww. terminu. Nadzór nad pracownikami jest po stronie każdego pracodawcy, czyli administratora danych i to on ponosi odpowiedzialność. Można zatem uznać, że proces wysyłania zawiadomień o zgłoszeniu naruszenia był w spółce zorganizowany nieprawidłowo. Powtarzające się zgłoszenia naruszenia danych osobowych z przekroczeniem terminu 24 godzin świadczą o braku zastosowania odpowiednich środków w celu wyeliminowania podobnych zdarzeń w przyszłości.

Odnotować należy, że spółka zmieniła praktykę zawiadomienia organu nadzorczego w lutym tego roku. Od tej pory naruszenia składane są przez spółkę za pośrednictwem platformy ePUAP.

Wynikający z rozporządzenia 611/2013 termin 24 godzin na zgłoszenie naruszenia ochrony danych jest nieprzypadkowy. Ważny jest bowiem odpowiednio szybki czas reakcji UODO na zaistniałe naruszenia, która może zapobiec ewentualnym negatywnym konsekwencjom dla osób, których dane dotyczą, lub przynajmniej je ograniczyć. Chodzi tu np. o sytuacje, w których naruszenie może prowadzić do kradzieży tożsamości, straty finansowej czy też naruszenia tajemnic prawnie chronionych. Takie sytuacje mogą mieć miejsce, gdy zakres ujawnionych danych obejmuje np. informacje widniejące w dowodach tożsamości, a więc nie tylko imię i nazwisko, ale nr PESEL, nr dokumentu, adres.

Celem zgłaszania naruszeń UODO jest przede wszystkim ochrona praw lub wolności osób fizycznych, ale także dokonanie przez organ nadzorczy oceny, czy administrator prawidłowo wypełnił obowiązek zawiadomienia o naruszeniu osób, których dane dotyczą, czy podjął też odpowiednie działania w celu zminimalizowania ryzyka wystąpienia podobnego naruszenia w przyszłości.

Nałożona kara, w opinii UODO, jest adekwatna do stwierdzonego naruszenia przepisów.

Decyzja dostępna jest po linkiem: https://www.uodo.gov.pl/decyzje/DKN.5131.10.2020

2021-06-17