100 tys. zł kary dla Play za naruszenie danych osobowych

21 czerwca 2021, 16:14
calling_car_communication_dangerous_driver_driving_illegal_mobile_phone-976805
fot. pxhere.com
CyberDefence24
CyberDefence24

Prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę P4 administracyjną karę pieniężną w wysokości 100 tys. złotych za niezawiadomienie organu nadzorczego w terminie 24 godzin o wykryciu naruszenia danych osobowych - czytamy w oficjalnym komunikacie urzędu.

Decyzja urzędu dotyczy uchybień w odniesieniu do zgłoszenia naruszenia danych z października 2020 roku oraz w odniesieniu do czterech zgłoszeń naruszeń danych z grudnia 2020 roku, które zostały wysłane jako jedna przesyłka do UODO. „Postępowaniem tym objęto łącznie pięć naruszeń danych osobowych, zgłoszonych po upływie 24 godzin od ich wykrycia” - czytamy w komunikacie. 

W trakcie prowadzonego postepowania spółka wyjaśniała, że dokonanie zawiadomień o naruszeniu danych osobowych po upływie 24 godzin związane było z nieumyślnym błędem pracowników kancelarii, odpowiedzialnych za wysyłkę korespondencji. Błąd polegał m.in. na niewpisaniu korespondencji do książki nadawczej, czego efektem był jej zwrot przez operatora pocztowego.

Takie wyjaśnienie nie przekonało jednak UODO, które jak wskazuje w uzasadnieniu stwierdziło, że „naruszenie terminu zgłoszenia incydentów bezpieczeństwa ochrony danych nie ma charakteru jednorazowego”, a zawiadomienia te nie były pierwszymi, jakie spółka składała do organu nadzorczego po upływie 24 godzin od jego wykrycia. Urząd również niejednokrotnie kierował do spółki pisma o złożenie wyjaśnień dotyczących zgłaszania naruszeń po upływie terminu. 

Jak przypomina UODO w komunikacie - w świetle przepisów Prawa telekomunikacyjnego przedsiębiorca telekomunikacyjny (administrator danych) nie tylko musi chronić dane osobowe swoich klientów, ale także w przypadku stwierdzenia naruszenia bezpieczeństwa danych osobowych zobowiązany jest w szczególności powiadomić o tym organ ds. ochrony danych osobowych, a także abonenta lub użytkownika końcowego, którego dane zostały naruszone.  Co więcej, na mocy tych przepisów administrator danych jest zobowiązany do zawiadomienia organu nadzorczego o naruszeniu danych osobowych w terminie 24 godzin.

Dlaczego 24 godziny?

Wynikający z rozporządzenia 611/2013 termin 24 godzin na zgłoszenie naruszenia ochrony danych jest nieprzypadkowy – informuje UODO. Ważny jest bowiem odpowiednio szybki czas reakcji urzędu na zaistniałe naruszenia, która może zapobiec ewentualnym negatywnym konsekwencjom dla osób, których dane dotyczą, lub przynajmniej je ograniczyć.

W ten sposób urząd odnosi się do sytuacji, w których naruszenie może prowadzić do kradzieży tożsamości, straty finansowej czy też naruszenia tajemnic prawnie chronionych. Mogą one mieć miejsce, gdy zakres ujawnionych danych obejmuje np. informacje widniejące w dowodach tożsamości, a więc nie tylko imię i nazwisko, ale nr PESEL, nr dokumentu, adres.

CyberDefence24
CyberDefence24
KomentarzeLiczba komentarzy: 0
No results found.
Tweets CyberDefence24