Jak informuje UODO, powodem nałożenia administracyjnej kary pieniężnej jest naruszenie przez spółkę przepisów Prawa telekomunikacyjnego oraz rozporządzenia Komisji  (UE) nr 611/2013 z 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej.

Trzeba powiadomić organ i abonenta

W świetle przepisów Prawa telekomunikacyjnego przedsiębiorca telekomunikacyjny- administrator danych - nie tylko musi chronić dane osobowe swoich klientów, ale także w przypadku stwierdzenia naruszenia bezpieczeństwa danych osobowych zobowiązany jest w szczególności powiadomić o tym organ ds. ochrony danych osobowych, a także abonenta lub użytkownika końcowego, którego dane zostały naruszone. Na mocy tych przepisów administrator danych jest też zobowiązany do zawiadomienia organu nadzorczego o naruszeniu danych osobowych w terminie 24 godzin.

 


Najnowsza decyzja UODO dotyczy uchybień w odniesieniu do zgłoszenia naruszenia danych z października 2020 roku oraz w odniesieniu do czterech zgłoszeń naruszeń danych z grudnia 2020 roku, które zostały wysłane jako jedna przesyłka do UODO. Zatem postępowaniem tym objęto łącznie pięć naruszeń danych osobowych, zgłoszonych po upływie 24 godzin od ich wykrycia.

Pomyłka, ale nie jednorazowa

Spółka w postępowaniu wyjaśniła, że dokonanie zawiadomień o naruszeniu danych osobowych po upływie 24 godzin związane było z nieumyślnym błędem pracowników kancelarii odpowiedzialnych za wysyłkę korespondencji. Błąd ten polegał m.in. na niewpisaniu korespondencji do książki nadawczej, czego efektem był jej zwrot przez operatora pocztowego.

UODO jednak zauważa, że naruszenie terminu zgłoszenia incydentów bezpieczeństwa ochrony danych nie ma charakteru jednorazowego. Zawiadomienia te nie były pierwszymi, jakie spółka składała do organu nadzorczego po upływie 24 godzin od jego wykrycia. UODO niejednokrotnie też kierował do spółki pisma o złożenie wyjaśnień dotyczących zgłaszania naruszeń po upływie terminu.

Czytaj także: UODO: Kara dla firmy za brak dostępu do informacji >>
 

UODO: Kara dla firmy za brak dostępu do informacji

UODO kilkukrotnie informował spółkę, że zgłoszenia naruszenia danych osobowych można dokonać na dwa sposoby: elektronicznie oraz pocztą tradycyjną, a także wskazywał, że najszybszą drogą jest wysłanie zgłoszenia za pośrednictwem platformy biznes.gov.pl lub platformy ePUAP, co zapewnia dotrzymanie terminu określonego w rozporządzeniu 611/2013.

Przez kancelarię i pocztę - błędy i opóźnienie

UODO stwierdził, że spółka nie wyciągnęła żadnych wniosków, a w szczególności nie zmieniła sposobu organizacji wysyłki korespondencji dotyczącej zawiadomień o naruszeniach danych osobowych kierowanych do UODO, nadal wysyłając ją za pośrednictwem operatora pocztowego, co wymagało zaangażowania w ten proces m.in. pracowników kancelarii odpowiedzialnych za jej wysyłkę. Konsekwencją były w szczególności błędy tych pracowników, skutkujące nie dotrzymaniem przez spółkę ww. terminu.

- Nadzór nad pracownikami jest po stronie każdego pracodawcy, czyli administratora danych i to on ponosi odpowiedzialność. Można zatem uznać, że proces wysyłania zawiadomień o zgłoszeniu naruszenia był w spółce zorganizowany nieprawidłowo. Powtarzające się zgłoszenia naruszenia danych osobowych z przekroczeniem terminu 24 godzin świadczą o braku zastosowania odpowiednich środków w celu wyeliminowania podobnych zdarzeń w przyszłości - czytamy w komunikacie UODO.

Urząd odnotował jednak, że spółka zmieniła praktykę zawiadomienia organu nadzorczego w lutym tego roku. Od tej pory naruszenia składane są przez spółkę za pośrednictwem platformy ePUAP.

Potrzebne szybkie reakcje

Urząd Ochrony Danych Osobowych przypomina przy okazji, że wynikający z rozporządzenia 611/2013 termin 24 godzin na zgłoszenie naruszenia ochrony danych jest nieprzypadkowy. Ważny jest bowiem odpowiednio szybki czas reakcji UODO na zaistniałe naruszenia, która może zapobiec ewentualnym negatywnym konsekwencjom dla osób, których dane dotyczą, lub przynajmniej je ograniczyć. Chodzi tu np. o sytuacje, w których naruszenie może prowadzić do kradzieży tożsamości, straty finansowej czy też naruszenia tajemnic prawnie chronionych. Takie sytuacje mogą mieć miejsce, gdy zakres ujawnionych danych obejmuje np. informacje widniejące w dowodach tożsamości, a więc nie tylko imię i nazwisko, ale nr PESEL, nr dokumentu, adres.