Obowiązek informacyjny rodo

KOMPAS FORSAFE 2024/43

Kraj:

Polska

Data wydania decyzji:

30.11.2023 r.

Podmiot kontrolowany:

ENEA S.A.

Wysokość kary (EUR):

60.000

Podstawa prawna naruszenia

Art. 33 ust. 1, art. 34 ust. 1 RODO.

Niewystarczające wypełnienie obowiązków powiadamiania o naruszeniu danych.

 

Przyczyna naruszenia

Naruszenie ochrony danych osobowych przez ENEA S.A. polegało na wysłaniu korespondencji przez pracownika podmiotu przetwarzającego, tj. ENEA Centrum Sp. z o.o., która świadczy na rzecz ENEA S.A. usługę wysyłki umów. Korespondencja zawierała umowę i została wysłana na niewłaściwy adres, co skutkowało ujawnieniem danych osobowych nieuprawnionej osobie. Spółka nie zgłosiła tego naruszenia Prezesowi Urzędu Ochrony Danych Osobowych (UODO) w wymaganym terminie 72 godzin oraz nie powiadomiła osoby, której dane dotyczyły, o naruszeniu.

 

Opis wydarzeń

  1. Incydent: Wysłanie umowy zawierającej dane osobowe klientki na niewłaściwy adres w lipcu 2020 roku.
  2. Zakres ujawnionych danych: Ujawnione dane osobowe obejmowały imię i nazwisko, numer PESEL, dane teleadresowe i adres e-mail.
  3. Odkrycie naruszenia: Spółka dowiedziała się o naruszeniu w listopadzie 2020 roku, kiedy otrzymała pismo od pełnomocnika klientki.
  4. Brak zgłoszenia: ENEA S.A. nie zgłosiła naruszenia Prezesowi UODO ani nie powiadomiła osoby, której dane dotyczyły o naruszeniu, uznając, że ryzyko naruszenia praw lub wolności osób fizycznych jest małe.
  5. Postępowanie administracyjne: Prezes UODO wszczął postępowanie administracyjne w marcu 2023 roku po otrzymaniu informacji o naruszeniu od Sądu Okręgowego.
  6. Decyzja: Nałożono na ENEA S.A. administracyjną karę pieniężną w wysokości 282.960 PLN oraz nakazano powiadomienie osoby, której dane zostały ujawnione.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Zgłaszanie naruszeń: Należy bez zbędnej zwłoki zgłaszać naruszenia ochrony danych osobowych Prezesowi UODO, nie później niż w terminie 72 godzin od ich stwierdzenia.
  2. Powiadamianie osób: Osoby, których dane dotyczą, powinny być niezwłocznie powiadamiane o naruszeniu, szczególnie gdy istnieje wysokie ryzyko naruszenia ich praw lub wolności.
  3. Ocena ryzyka: Analiza ryzyka naruszenia praw lub wolności osób fizycznych powinna być przeprowadzana z perspektywy osoby, której dane dotyczą, a nie interesów administratora.
  4. Środki zaradcze: Wdrożenie odpowiednich środków technicznych i organizacyjnych w celu minimalizacji ryzyka naruszeń oraz ich skutków.
  5. Ewidencja naruszeń: Prowadzenie wewnętrznej ewidencji naruszeń ochrony danych osobowych, nawet jeśli nie są one zgłaszane organowi nadzorczemu.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO