Prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę P4 karę pieniężną w wysokości 100 tys. złotych. Związane jest to z niedotrzymaniem przez spółkę terminu 24 godzin na zawiadomienie organu o wykryciu naruszenia danych osobowych.
Zgodnie z Prawem telekomunikacyjnym przedsiębiorca telekomunikacyjny będący administratorem danych ma obowiązek chronić dane klientów. Ponadto jest zobowiązany do powiadomienia organu ds. ochrony danych osobowych w przypadku stwierdzenia naruszenia bezpieczeństwa tych danych. Tak samo powiadomić o tym fakcie musi abonenta, którego sprawa dotyczy.
Organ nadzorczy musi zawiadomić w ciągu 24 godzin od stwierdzenia naruszenia.
Celem tego zgłoszenia jest ochrona praw lub wolności osób fizycznych oraz możliwość zbadania przez organ nadzorczy prawidłowości działania administratora w obszarze ochrony danych osobowych.
Decyzja UODA wobec P4 dotyczy uchybień w zgłaszaniu naruszenia danych z października 2020 r. oraz czterech zgłoszeń z grudnia 2020 r. wysłanych jako jedno zgłoszenie. W sumie postępowanie dotyczyło pięciu naruszeń przepisów związanych z przekroczeniem terminu 24 godzin na zgłoszenie naruszenia danych osobowych.
Spółka tłumaczyła niedotrzymanie terminu błędem pracownika kancelarii odpowiedzialnej za korespondencję. Miał on nie wpisać korespondencji do książki nadawczej. W rezultacie operator pocztowy ją zwrócił.
Jednak naruszenie terminu zgłoszenia nie było jednorazowe. To nie po raz pierwszy P4 zgłaszała zawiadomienie o naruszeniu danych osobowych po upływie 24 godzin od wykrycia. UODO wielokrotnie też kierował do spółki pisma w celu złożenia wyjaśnień co do przekraczania terminu zgłoszenia.
UODO informował też o różnych sposobach dostarczania zawiadomień, które mogłyby pozwolić na uniknięcie przekraczania terminu.
Pomimo tego nie zmieniono zasad wysyłki zawiadomień do UODO. Nadal korzystano z drogi, które nie jest doskonała i jeden błąd pracownika może skutkować opóźnieniem, które narusza przepisy.
Zmiana wysyłania przez półkę zawiadomień poprzez ePUAP pojawiła się dopiero w lutym tego roku.
Analizując całą sytuację Prezes UODO postanowił nałożyć na P4 kara w wysokości 100 tys. zł uznając, ze jest ona adekwatna do stwierdzonego naruszenia.
Źródło:uodo.gov.pl
