Obowiązek informacyjny rodo

KOMPAS FORSAFE 2021/14

Kraj:

Polska

Data wydania decyzji:

11.01.2021 r.

Podmiot kontrolowany:

ENEA S.A.

Wysokość kary (EUR):

30.000

Podstawa prawna naruszenia

Art. 33 ust. 1 RODO.

Niewystarczające wypełnienie obowiązków powiadamiania o naruszeniu danych.

 

Przyczyna naruszenia

Naruszenie ochrony danych osobowych przez ENEA S.A. wynikało z wysłania przez współpracownika firmy wiadomości e-mail do nieuprawnionego odbiorcy. Wiadomość zawierała załącznik z danymi osobowymi 259 osób, w tym imiona, nazwiska, adresy e-mail, numery telefonów oraz daty rejestracji.

 

Opis wydarzeń

  1. Czerwiec 2020: Do Urzędu Ochrony Danych Osobowych (UODO) wpłynęła informacja o naruszeniu ochrony danych osobowych.
  2. Analiza incydentu: ENEA S.A. przeprowadziła ocenę ryzyka i uznała, że nie doszło do naruszenia wymagającego zgłoszenia do UODO, ponieważ dane nie miały szczególnego charakteru, a osoba, która otrzymała dane, zobowiązała się do ich trwałego usunięcia.
  3. Interwencja UODO: UODO zwróciło się do ENEA S.A. o ponowną analizę incydentu. Spółka potwierdziła swoje wcześniejsze stanowisko, uznając, że ryzyko naruszenia praw lub wolności osób fizycznych jest małe.
  4. Postępowanie administracyjne: W październiku 2020 r. UODO wszczęło postępowanie administracyjne wobec ENEA S.A. za brak zgłoszenia naruszenia.
  5. Decyzja UODO: UODO nałożył na ENEA S.A. administracyjną karę pieniężną w wysokości 136 437 PLN .

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Zgłaszanie naruszeń: W przypadku naruszenia ochrony danych osobowych, administrator danych powinien zgłaszać je UODO bez zbędnej zwłoki, nie później niż w terminie 72 godzin.
  2. Środki techniczne i organizacyjne: Wdrożenie odpowiednich środków technicznych i organizacyjnych, takich jak szyfrowanie przesyłanych plików, aby minimalizować ryzyko naruszeń.
  3. Szkolenia: Regularne szkolenia dla pracowników i współpracowników w zakresie ochrony danych osobowych i prawidłowego adresowania korespondencji.
  4. Weryfikacja dostawców: Dokładna weryfikacja dostawców i podwykonawców pod kątem zgodności z wymaganiami ochrony danych osobowych.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO