Kolejna kara dla operatora telekomunikacyjnego za brak zgłoszenia naruszenia
UODO, stwierdzając naruszenie przepisów Prawa telekomunikacyjnego, polegające na niezawiadomieniu organu nadzorczego o naruszeniu danych osobowych w terminie 24 godzin od wykrycia naruszenia danych osobowych oraz braku niezwłocznego powiadomienia o naruszeniu danych osobowych abonenta, którego dotyczyło naruszenie, nałożył na P4 Sp. z o.o. karę pieniężną w wysokości 250 tys. złotych.
Do Urzędu Ochrony Danych Osobowych wpłynęła informacja przekazana pocztą elektroniczną przez osobę trzecią, wskazująca, że jest ona nieuprawnionym odbiorcą zestawu dokumentów dotyczących zawarcia umowy telekomunikacyjnej. W związku z tym, UODO zwrócił się do spółki o udzielenie informacji na temat naruszenia danych osobowych polegającego na umożliwieniu nieuprawnionej osobie trzeciej wglądu do wskazanych dokumentów oraz o przedstawienie oceny pod kątem obowiązku zgłoszenia naruszenia organowi nadzorczemu oraz zawiadomienia osoby, której dane dotyczą.
Błędny adres e-mail
Spółka udzieliła odpowiedzi, z której wynikało, że oprócz danych niezbędnych do zawarcia umowy, klient wskazał do kontaktu również numer telefonu oraz adres e-mail. Podczas procesu zawarcia umowy została wygenerowana wiadomość e-mail zawierająca kopię umowy wraz z załącznikami, a następnie została ona wysłana na adres wskazany przez klienta.
Administrator oświadczył też, że sam klient wrócił do niego następnie z informacją, iż adres e-mail wskazany w umowie jest błędny i poprosił o jego usunięcie.
Spółka przyznała, że można nie realizować wysyłki dokumentów za pośrednictwem poczty elektronicznej, oznaczając specjalne pole w systemie sprzedażowym, czego jednak pracownik administratora nie dokonał – nie odznaczył tego pola i dlatego e-mail z kopiami dokumentów został wysłany.
W ocenie spółki nie było podstaw do traktowania przedmiotowego zdarzenia jako naruszenia danych osobowych, dlatego nie zgłosiła ona ww. naruszenia do UODO oraz nie powiadomiła o nim klienta (abonenta).
Ważny jest czas reakcji
Po otrzymaniu przez spółkę zawiadomienia od UODO o wszczęciu postępowania administracyjnego, administrator przesłał do organu nadzorczego zgłoszenie naruszenia danych osobowych wraz z treścią listownego powiadomienia abonenta o naruszeniu ochrony jego danych osobowych.
Zgodnie z przepisami Prawa telekomunikacyjnego dostawca publicznie dostępnych usług telekomunikacyjnych zawiadamia UODO o naruszeniu ochrony danych osobowych nie później niż 24 godziny po wykryciu takiego naruszenia.
Ponadto w przypadku gdy naruszenie ochrony danych osobowych może mieć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, dostawca publicznie dostępnych usług telekomunikacyjnych niezwłocznie zawiadamia o takim naruszeniu również abonenta lub użytkownika końcowego (powiadomienie to następuje bez zbędnej zwłoki po wykryciu naruszenia ochrony danych osobowych).
Zarówno w przypadku obowiązku zawiadomienia organu nadzorczego jak i obowiązku powiadomienia abonenta ważny jest moment wykrycia naruszenia. Uznaje się, że doszło do wykrycia naruszenia ochrony danych osobowych, gdy dostawca uzyskał wystarczającą wiedzę o zaistnieniu zdarzenia naruszającego ochronę, które doprowadziło do naruszenia ochrony danych osobowych, w celu przekazania powiadomienia zgodnie z wymogami wynikającymi z właściwych przepisów.
W przedmiotowej sprawie administrator uzyskał dwukrotnie informacje, które pozwoliłyby na wykrycie naruszenia ochrony danych osobowych. Po raz pierwszy, kiedy to sam klient zwrócił się do administratora z informacją, iż adres e-mail wskazany przez niego podczas procesu podpisania umowy jest błędny i poprosił o jego usunięcie, co zostało przez spółkę odnotowane w stosownym zgłoszeniu. A po raz drugi, gdy administrator odebrał pismo od UODO wzywające do złożenia wyjaśnień dotyczących naruszenia ochrony danych osobowych polegającego na umożliwieniu nieuprawnionej osobie trzeciej wglądu do zestawu dokumentów (umowy).
W ocenie UODO już uzyskanie pierwszej z ww. informacji (wraz z wiedzą o obowiązującej procedurze wysyłki dokumentów w formie elektronicznej) było wystarczające do wykrycia naruszenia ochrony danych osobowych. Tymczasem spółka zawiadomiła organ nadzorczy oraz abonenta o naruszeniu ochrony danych osobowych dopiero po wszczęciu postępowania administracyjnego w przedmiotowej sprawie i po dokonaniu wglądu w akta sprawy.
W przedmiotowej sprawie doszło do naruszenia ochrony danych osobowych polegającego na udostępnieniu osobie trzeciej przez spółkę poprzez wiadomość e-mail danych abonenta zawartych w umowie. Ponadto naruszenie to może wywrzeć niekorzystny wpływ na prawa abonenta, w szczególności może skutkować nieuprawnionym posługiwaniem się danymi osobowymi, szkodą majątkową, czy naruszeniem dóbr osobistych.
Administrator nie tylko nie zawiadomił UODO o naruszeniu ochrony danych osobowych w terminie wynikającym z przepisów prawa, ale nie spełnił również bez zbędnej zwłoki obowiązku powiadomienia klienta o naruszeniu. To szczególnie ważne, aby umożliwić abonamentowi lub użytkownikowi końcowemu podjęcie niezbędnych działań zapobiegawczych w celu ochrony praw lub wolności przed negatywnymi skutkami naruszenia.
W ocenie UODO zakres naruszenia, czas jego trwania oraz jego skutki uzasadniają konieczność nałożenia na spółkę kary pieniężnej.
Należy także odnotować, że rozpatrywane w ramach niniejszego postępowania administracyjnego zawiadomienie organu nadzorczego o naruszeniu ochrony danych osobowych po upływie 24 godzin od jego wykrycia, nie było pierwszym takim przypadkiem w dotychczasowej działalności Administratora, co miało wpływ na wymierzoną karę pieniężną.