Obowiązek informacyjny rodo

KOMPAS FORSAFE 2022/63

Kraj:

Polska

Data wydania decyzji:

03.11.2022 r.

Podmiot kontrolowany:

P4 Sp. z o.o.

Wysokość kary (EUR):

Podstawa prawna naruszenia

Art. 174a ust. 1 i 3 Prawo telekomunikacyjne – Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2021 r., poz. 576).
Art. 2 ust. 1 i 2, art. 3 ust. 1, 3, 4 Rozporządzenia Komisji (UE) Nr 611/2013 – Rozporządzenie Komisji (UE) Nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej (Dz.U.UE.L.2013.173.2).

Niewystarczające wypełnienie obowiązków powiadamiania o naruszeniu danych.

 

Przyczyna naruszenia

Naruszenie danych osobowych przez P4 Sp. z o.o. wynikało z błędnego wskazania adresu e-mail przez klienta podczas zawierania umowy. W wyniku tego, dokumenty zawierające dane osobowe zostały wysłane na niewłaściwy adres e-mail, co umożliwiło nieuprawnionej osobie trzeciej dostęp do tych danych.

 

Opis wydarzeń

  1. Zgłoszenie naruszenia: Osoba trzecia poinformowała Prezesa Urzędu Ochrony Danych Osobowych (UODO) o otrzymaniu e-maila z umową Play, zawierającą dane osobowe innej osoby.
  2. Reakcja Prezesa UODO: Prezes UODO zwrócił się do P4 Sp. z o.o. o wyjaśnienia dotyczące naruszenia.
  3. Odpowiedź Spółki: P4 Sp. z o.o. wyjaśniła, że klient podał błędny adres e-mail, co spowodowało wysłanie dokumentów na niewłaściwy adres. Klient zgłosił błąd, ale nie wskazał nowego adresu e-mail.
  4. Analiza Prezesa UODO: Prezes UODO uznał, że Spółka powinna była zgłosić naruszenie w terminie 24 godzin oraz powiadomić abonenta bez zbędnej zwłoki, co nie zostało zrealizowane.
  5. Postępowanie administracyjne: Wobec braku zgłoszenia naruszenia, Prezes UODO wszczął postępowanie administracyjne i nałożył na Spółkę karę pieniężną w wysokości 250 000 PLN.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Wprowadzenie dodatkowych środków technicznych i organizacyjnych: Zaleca się wprowadzenie mechanizmów weryfikacji adresów e-mail oraz zabezpieczenia przesyłanych dokumentów hasłem.
  2. Poprawa procedur zgłaszania naruszeń: Należy usprawnić procedury zgłaszania naruszeń danych osobowych do Prezesa UODO oraz powiadamiania abonentów.
  3. Edukacja pracowników: Zaleca się przeprowadzenie szkoleń dla pracowników w zakresie ochrony danych osobowych i procedur zgłaszania naruszeń.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO