Urząd Ochrony Danych Osobowych nałożył karę na Cyfrowy Polsat. Spółka ma zapłacić ponad 1,1 mln zł z powodu zaniedbań przy współpracy z firmą kurierską. Chodzi o zagubione lub dostarczone do niewłaściwego odbiorcy przesyłki z danymi osobowymi klientów operatora.
Zgubiona korespondencja z danymi osobowymi lub dostarczenie takiej przesyłki do niewłaściwego odbiorcy to naruszenia, które Cyfrowy Polsat często zgłaszał do Urzędu Ochrony Danych Osobowych. Urząd przeprowadził analizę, z której wynika, że administrator danych osobowych zgłaszał naruszenia organowi nadzorczemu, jak i powiadamiał o incydentach osoby, których one dotyczyły, po upływie dwóch, a nawet trzech miesięcy od ich wystąpienia. Postępowanie pokazało również, że administrator zgłaszał naruszenia, gdy tylko informację o nich otrzymał od firmy kurierskiej, z którą miał podpisaną umowę. Zdaniem UODO to administrator danych osobowych powinien podjąć skuteczne działania, które po zminimalizują skalę naruszeń, a także pozwolą na szybsze identyfikowanie takich incydentów i tym samym powiadamianie o nich osób, których dotyczy dane zdarzenie oraz organu nadzorczego.
Zobacz: Wyniki Grupy Polsat za I kwartał 2021: 12 mln Polaków w 5G Plusa, partnerstwo z Cellnex Telecom, wzrost przychodów
Zobacz: Polsat i Discovery łamią przepisy antymonopolowe? UOKiK wszczął postępowanie
Jak podaje UODO w komunikacie, brak wdrożonych odpowiednich środków organizacyjnych i technicznych pozwalających szybko identyfikować naruszenia powodował, że osoby, których dane dotyczą, przez długi czas nie wiedziały o ryzyku wykorzystania ich danych przez osoby nieuprawnione, na przykład do kradzieży ich tożsamości. Nie mogły też przez ten czas podjąć działań, które ograniczyłyby takie niebezpieczeństwo. Tymczasem zakres danych osobowych w zgubionej bądź dostarczonej niewłaściwemu odbiorcy korespondencji był szeroki, a towarzyszyły im takie informacje, jak ID kontraktu, numer umowy, czy numery faktur.
Urząd Ochrony Danych Osobowych zwrócił uwagę, że naruszenia związanie były z nieprawidłowościami po stronie firmy kurierskiej, jednak to ukarany administrator danych (Cyfrowy Polsat) nieprawidłowo realizował nadzór nad egzekwowaniem postanowień umownych, przez co dochodziło do późnej identyfikacji naruszeń. Ponadto, było możliwe wprowadzenie i egzekwowanie przez administratora nowych rozwiązań, które zarówno ograniczyłyby liczbę naruszeń, jak i umożliwiły szybsze ich identyfikowanie. Dopiero jednak w toku postępowania spółka wdrożyła mechanizmy, które pozwoliły znacznie ograniczyć przypadki wydawania korespondencji nieuprawnionej osobie.
Cyfrowy Polsat wdrożył też rozwiązania pozwalające śledzić przesyłki, co umożliwiło szybsze identyfikowanie i zgłaszanie utraty korespondencji z danymi osobowymi. Dzięki temu proces identyfikacji naruszeń ochrony danych przez spółkę uległ znacznemu skróceniu. Szybsze identyfikowanie naruszeń, a co za tym idzie zawiadamianie osób, których dane dotyczą, o naruszeniu ich danych osobowych, umożliwia tym osobom podjęcie odpowiednich działań mających na celu zminimalizowanie negatywnych skutków tych naruszeń.
Kara nałożona na Cyfrowy Polsat wynosi około 1,137 mln zł. Z pełną treścią decyzji można się zapoznać pod tym adresem.
Zobacz: Operator TeleGo wprowadza klientów w błąd? Zbada to UOKiK
Zobacz: Plus najbardziej przychylny konsumentom – UKE podsumowuje postępowania ADR w 2020 r.
Źródło tekstu: UODO
