Urząd Ochrony Danych Osobowych (UODO) poinformował, że wpłynęła do niego  informacja o naruszeniu ochrony danych osobowych pochodząca od osoby, która stała się nieuprawnionym adresatem przesyłki. Naruszenie to polegało na wysłaniu e-maila z niezaszyfrowanym, nie zabezpieczonym hasłem załącznikiem zawierającym dane osobowe kilkuset osób. Nadawcą maila był współpracownik ukaranego przedsiębiorstwa.

Enea nie widziała problemu

UODO zwrócił się do spółki o wyjaśnienie okoliczności zdarzenia, przedstawienie analizy incydentu i ocenę, czy w związku z zaistniałą sytuacją nie zachodzi potrzeba zawiadomienia organu nadzorczego o naruszeniu oraz osób, których ono dotyczyło. Firma poinformowała, że została dokonana ocena pod kątem ryzyka naruszenia praw i wolności osób fizycznych, na podstawie której spółka uznała, iż nie doszło do naruszenia skutkującego koniecznością zawiadomienia UODO. Przedsiębiorstwo uznało też , że ze względu na szybko podjęte działania, jak oświadczenie nieuprawnionego adresata, że w sposób trwały zniszczył załącznik, do którego otrzymania nie był upoważniony, wyeliminowano możliwość zaistnienia w przyszłości negatywnych skutków tego zdarzenia dla osób, których dane dotyczą.

 


Powinno być zgłoszenie do UODO

Urząd Ochrony Danych Osobowych uznał, że z uwagi na  brak zgłoszenia naruszenia ochrony danych osobowych powinien wszcząć wobec spółki postępowanie administracyjne, która w jego trakcie podtrzymała dotychczasowe stanowiska przedstawione w korespondencji prowadzonej z Urzędem od czerwca 2020 roku i w dalszym ciągu nie zgłosiła naruszenia organowi nadzorczemu.

Czytaj także: UODO upomniał administratora danych za przestarzałe oprogramowanie>>
 

Jak stwierdził Urząd, doszło do wysłania do nieuprawnionego odbiorcy wiadomości e-mail wraz z załącznikiem w postaci niezaszyfrowanego pliku zawierającego dane osobowe adresata wiadomości i innych osób. Oznacza to, że doszło do naruszenia bezpieczeństwa prowadzącego do przypadkowego ujawnienia danych osobowych osobie nieuprawnionej do otrzymania tych danych, a więc do naruszenia poufności danych tych osób, co przesądza, że wystąpiło naruszenie ochrony danych osobowych.

UODO podkreśla, że do dnia wydania tej decyzji, spółka nie wykonała obowiązku wynikającego z art. 33 RODO. Ustalając wysokość administracyjnej kary pieniężnej, Urząd uwzględnił również okoliczności łagodzące, mające wpływ na ostateczny wymiar kary, tj. działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą.

UODO przypomina, że zgodnie z art. 33 ust. 1 i 3 RODO w przypadku naruszenia ochrony danych osobowych, administrator danych bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

Enea odwoła się od decyzji

Spółka Enea S.A. zapowiedziała złożenie odwołania w sprawie decyzji prezesa Urzędu Ochrony Danych Osobowych (UODO) o nałożeniu kary za brak zgłoszenia naruszenia ochrony danych osobowych. Taką informację przekazał w czwartek kierownik biura PR spółki Piotr Ludwiczak. Stwierdził, że zdaniem spółki zaistniała sytuacja nie wymagała zgłoszenia naruszenia ochrony danych osobowych. - Natychmiast po zdarzeniu przeprowadziliśmy ocenę naruszenia danych, która wskazała, że informacje nie pozwalały na pełną identyfikację osób. Szybko podjęto również działania zabezpieczające dane przed ich ewentualnym użyciem - powiedział.