Enea: będzie odwołanie ws. kary UODO

5 marca 2021, 08:47
enea1
Fot. Enea

Spółka Enea S.A. zapowiedziała złożenie odwołania w sprawie decyzji prezesa Urzędu Ochrony Danych Osobowych (UODO) o nałożeniu kary za brak zgłoszenia naruszenia ochrony danych osobowych. Taką informację przekazał PAP w czwartek kierownik biura PR spółki.

Rzecznik UODO Adam Sanocki poinformował w czwartek, że naruszenie polegało na wysłaniu e-maila z niezaszyfrowanym, niezabezpieczonym hasłem załącznikiem zawierającym dane osobowe kilkuset osób. Nadawcą maila był współpracownik ukaranego przedsiębiorstwa. Prezes UODO nałożył na spółkę Enea S.A. karę w wysokości ponad 136 tys. zł.

"Analizujemy tę decyzję i zamierzamy złożyć odwołanie w tej sprawie" - powiedział PAP kierownik biura PR spółki Piotr Ludwiczak.

UODO podał w czwartek, że w przedmiotowej sprawie doszło do wysłania do nieuprawnionego odbiorcy wiadomości e-mail wraz z załącznikiem w postaci niezaszyfrowanego pliku zawierającego dane osobowe adresata wiadomości i innych osób.

"Oznacza to, że doszło do naruszenia bezpieczeństwa prowadzącego do przypadkowego ujawnienia danych osobowych osobie nieuprawnionej do otrzymania tych danych, a więc do naruszenia poufności danych tych osób, co przesądza, że wystąpiło naruszenie ochrony danych osobowych" – poinformował UODO w komunikacie.

Informację o naruszeniu ochrony danych osobowych przekazała urzędowi osoba, która stała się nieuprawnionym adresatem danych osobowych. UODO zwrócił się do spółki o wyjaśnienie okoliczności zdarzenia, przedstawienie analizy incydentu i ocenę, czy w związku z zaistniałą sytuacją nie zachodzi potrzeba zawiadomienia o naruszeniu organu nadzorczego oraz osób, których ono dotyczyło.

Piotr Ludwiczak poinformował PAP w czwartek, że zdaniem spółki zaistniała sytuacja nie wymagała zgłoszenia naruszenia ochrony danych osobowych.

"Natychmiast po zdarzeniu przeprowadziliśmy ocenę naruszenia danych, która wskazała, że informacje nie pozwalały na pełną identyfikację osób. Szybko podjęto również działania zabezpieczające dane przed ich ewentualnym użyciem" - powiedział.

Także UODO w swoim komunikacie podał, że po dokonaniu oceny pod kątem ryzyka naruszenia praw i wolności osób fizycznych spółka uznała, iż nie doszło do naruszenia skutkującego koniecznością zawiadomienia urzędu. To stanowisko spółka podtrzymała również w trakcie wszczętego postępowania administracyjnego.

"Do dnia wydania niniejszej decyzji spółka nie wykonała obowiązku wynikającego z art. 33 RODO. Ustalając wysokość administracyjnej kary pieniężnej, Urząd uwzględnił również okoliczności łagodzące, mające wpływ na ostateczny wymiar kary, tj. działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą" - poinformowano w komunikacie.

UODO przypomniał też, że zgodnie z obowiązującymi przepisami, w przypadku naruszenia ochrony danych osobowych ich administrator bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

image

 

PAP - mini

CyberDefence24
CyberDefence24
KomentarzeLiczba komentarzy: 0
No results found.
Tweets CyberDefence24