Prezes UODO nałożył na P4 Sp. z o.o. karę pieniężną w wysokości 250 000 złotych
01/12/2022
UODO stwierdził naruszenie przepisów Prawa telekomunikacyjnego, polegające na niezawiadomieniu organu nadzorczego o naruszeniu danych osobowych w terminie 24 godzin od wykrycia naruszenia danych osobowych oraz braku niezwłocznego powiadomienia o naruszeniu danych osobowych abonenta, którego dotyczyło naruszenie.
Do Urzędu Ochrony Danych Osobowych wpłynęła informacja przekazana pocztą elektroniczną przez osobę trzecią, wskazująca, że jest ona nieuprawnionym odbiorcą zestawu dokumentów dotyczących zawarcia umowy telekomunikacyjnej.
W trakcie postępowania wszczętego przez UODO administrator udzielił odpowiedzi, z której wynikało, że oprócz danych niezbędnych do zawarcia umowy, klient wskazał do kontaktu również numer telefonu oraz adres e-mail. Podczas procesu zawarcia umowy została wygenerowana wiadomość e-mail zawierająca kopię umowy wraz z załącznikami, a następnie została ona wysłana na adres wskazany przez klienta.
Spółka oświadczyła też, że sam klient wrócił do niego następnie z informacją, iż adres e-mail wskazany w umowie jest błędny i poprosił o jego usunięcie.
Spółka przyznała, że można nie realizować wysyłki dokumentów za pośrednictwem poczty elektronicznej, oznaczając specjalne pole w systemie sprzedażowym, czego jednak pracownik administratora nie dokonał – nie odznaczył tego pola i dlatego e-mail z kopiami dokumentów został wysłany.
Zgodnie z przepisami Prawa telekomunikacyjnego dostawca publicznie dostępnych usług telekomunikacyjnych zawiadamia UODO o naruszeniu ochrony danych osobowych nie później niż 24 godziny po wykryciu takiego naruszenia. Ponadto w przypadku gdy naruszenie ochrony danych osobowych może mieć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, dostawca publicznie dostępnych usług telekomunikacyjnych niezwłocznie zawiadamia o takim naruszeniu również abonenta lub użytkownika końcowego (powiadomienie to następuje bez zbędnej zwłoki po wykryciu naruszenia ochrony danych osobowych).
W toku postępowania UODO ustalił, że administrator nie tylko nie zawiadomił go o naruszeniu ochrony danych osobowych w terminie wynikającym z przepisów prawa, ale nie spełnił również bez zbędnej zwłoki obowiązku powiadomienia klienta o naruszeniu. To szczególnie ważne, aby umożliwić abonamentowi lub użytkownikowi końcowemu podjęcie niezbędnych działań zapobiegawczych w celu ochrony praw lub wolności przed negatywnymi skutkami naruszenia.
UODO stwierdził, że w przedmiotowej sprawie doszło do naruszenia ochrony danych osobowych polegającego na udostępnieniu osobie trzeciej przez spółkę poprzez wiadomość e-mail danych abonenta zawartych w umowie. Naruszenie to zdaniem organu może wywrzeć niekorzystny wpływ na prawa abonenta, w szczególności może skutkować nieuprawnionym posługiwaniem się danymi osobowymi, szkodą majątkową, czy naruszeniem dóbr osobistych.
Więcej: https://uodo.gov.pl/pl/138/2488
Jeżeli chcesz być informowany na bieżąco o naszych publikacjach dołącz do nas i polub nas na Facebooku https://www.facebook.com/odoserwis.pl.2016/
-----------------------------------------------------
Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl