Urząd Ochrony Danych Osobowych nałożył na PLAY karę 100 tys. złotych za niezawiadomienie organu nadzorczego w terminie 24 godzin o wykryciu naruszenia danych osobowych.
Przedsiębiorca telekomunikacyjny - administrator danych - nie tylko musi chronić dane osobowe swoich klientów, ale także w przypadku stwierdzenia naruszenia bezpieczeństwa danych osobowych zobowiązany jest w szczególności powiadomić o tym organ ds. ochrony danych osobowych, a także abonenta lub użytkownika końcowego, którego dane zostały naruszone. Ponadto na mocy tych przepisów administrator danych jest zobowiązany do zawiadomienia organu nadzorczego o naruszeniu danych osobowych w terminie 24 godzin.
Niniejsza decyzja dotyczy uchybień w odniesieniu do zgłoszenia naruszenia danych z października 2020 roku oraz w odniesieniu do czterech zgłoszeń naruszeń danych z grudnia 2020 roku, które zostały wysłane jako jedna przesyłka do UODO. Zatem postępowaniem tym objęto łącznie pięć naruszeń danych osobowych, zgłoszonych po upływie 24 godzin od ich wykrycia.
Spółka w postępowaniu wyjaśniła, że dokonanie zawiadomień o naruszeniu danych osobowych po upływie 24 godzin związane było z nieumyślnym błędem pracowników kancelarii odpowiedzialnych za wysyłkę korespondencji. Błąd ten polegał m.in. na niewpisaniu korespondencji do książki nadawczej, czego efektem był jej zwrot przez operatora pocztowego.
Należy jednak odnotować, że naruszenie terminu zgłoszenia incydentów bezpieczeństwa ochrony danych nie ma charakteru jednorazowego. Zawiadomienia te nie były pierwszymi, jakie spółka składała do organu nadzorczego po upływie 24 godzin od jego wykrycia. UODO niejednokrotnie też kierował do spółki pisma o złożenie wyjaśnień dotyczących zgłaszania naruszeń po upływie terminu.
UODO kilkukrotnie informował spółkę, że zgłoszenia naruszenia danych osobowych można dokonać na dwa sposoby: elektronicznie oraz pocztą tradycyjną, a także wskazywał, że najszybszą drogą jest wysłanie zgłoszenia za pośrednictwem platformy biznes.gov.pl lub platformy ePUAP, co zapewnia dotrzymanie terminu.
Według urzędu PLAY nie wyciągnął żadnych wniosków, a w szczególności nie zmieniła sposobu organizacji wysyłki korespondencji dotyczącej zawiadomień o naruszeniach danych osobowych kierowanych do UODO, nadal wysyłając ją za pośrednictwem operatora pocztowego, co wymagało zaangażowania w ten proces m.in. pracowników kancelarii odpowiedzialnych za jej wysyłkę. Konsekwencją były w szczególności błędy tych pracowników, skutkujące nie dotrzymaniem przez spółkę ww. terminu. Nadzór nad pracownikami jest po stronie każdego pracodawcy, czyli administratora danych i to on ponosi odpowiedzialność. Można zatem uznać, że proces wysyłania zawiadomień o zgłoszeniu naruszenia był w spółce zorganizowany nieprawidłowo. Powtarzające się zgłoszenia naruszenia danych osobowych z przekroczeniem terminu 24 godzin świadczą o braku zastosowania odpowiednich środków w celu wyeliminowania podobnych zdarzeń w przyszłości.
Termin 24 godzin na zgłoszenie naruszenia ochrony danych jest nieprzypadkowy. Ważny jest bowiem odpowiednio szybki czas reakcji UODO na zaistniałe naruszenia, która może zapobiec ewentualnym negatywnym konsekwencjom dla osób, których dane dotyczą, lub przynajmniej je ograniczyć. Chodzi tu np. o sytuacje, w których naruszenie może prowadzić do kradzieży tożsamości, straty finansowej czy też naruszenia tajemnic prawnie chronionych. Takie sytuacje mogą mieć miejsce, gdy zakres ujawnionych danych obejmuje np. informacje widniejące w dowodach tożsamości, a więc nie tylko imię i nazwisko, ale nr PESEL, nr dokumentu, adres.
Decyzja dostępna tutaj