Play zgłosił do Urzędu Ochrony Danych Osobowych w 2020 roku pięć naruszeń danych, jednak nie zachował przy tym 24-godzinnego terminu. Teraz fioletowy operator ma za to zapłacić administracyjną karę pieniężną w wysokości 100 tys. zł.
Jak informuje na swojej stronie internetowej Urząd Ochrony Danych Osobowych (UODO), powodem nałożenia administracyjnej kary pieniężnej jest naruszenie przez operatora sieci Play przepisów Prawa telekomunikacyjnego oraz rozporządzenia Komisji (UE) nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej. W świetle przepisów Prawa telekomunikacyjnego, przedsiębiorca telekomunikacyjny, jako administrator danych, nie tylko musi chronić dane osobowe swoich klientów, ale także w przypadku stwierdzenia naruszenia ich bezpieczeństwa zobowiązany jest w szczególności powiadomić o tym organ ds. ochrony danych osobowych, a także abonenta lub użytkownika końcowego, którego dane zostały naruszone. Ponadto, na mocy tych przepisów administrator danych jest zobowiązany do zawiadomienia organu nadzorczego o naruszeniu danych osobowych w terminie 24 godzin.
Zobacz: Wyciek danych z Forum Play - fioletowy operator wyjaśnia sytuację
Zobacz: Po Forum Play przyszedł czas na Blog Play: wyciekły dane 763 użytkowników
Decyzja UODO dotyczy uchybień w odniesieniu do zgłoszenia naruszenia danych z października 2020 roku oraz w odniesieniu do czterech zgłoszeń naruszeń danych z grudnia 2020 roku, które zostały wysłane jako jedna przesyłka do UODO. Postępowaniem tym objęto łącznie pięć naruszeń danych osobowych, zgłoszonych po upływie 24 godzin od ich wykrycia. Play opóźnienie usprawiedliwiał nieumyślnym błędem pracowników kancelarii odpowiedzialnych za wysyłkę korespondencji. Błąd ten polegał między innymi na niewpisaniu korespondencji do książki nadawczej, czego efektem był jej zwrot przez operatora pocztowego.
Należy jednak odnotować, że naruszenie terminu zgłoszenia incydentów bezpieczeństwa ochrony danych nie ma charakteru jednorazowego. Zawiadomienia te nie były pierwszymi, jakie spółka składała do organu nadzorczego po upływie 24 godzin od jego wykrycia. UODO niejednokrotnie też kierował do spółki pisma o złożenie wyjaśnień dotyczących zgłaszania naruszeń po upływie terminu.
UODO kilkukrotnie informował spółkę, że zgłoszenia naruszenia danych osobowych można dokonać na dwa sposoby: elektronicznie oraz pocztą tradycyjną, a także wskazywał, że najszybszą drogą jest wysłanie zgłoszenia za pośrednictwem platformy biznes.gov.pl lub platformy ePUAP, co zapewnia dotrzymanie terminu określonego w rozporządzeniu 611/2013.
– czytamy w komunikacie UODO
Operator Play wciąż jednak wysyłał zawiadomienia o naruszeniu danych osobowych za pomocą operatora pocztowego, co wymagało zaangażowania w ten proces między innymi pracowników kancelarii odpowiedzialnych za jej wysyłkę. Konsekwencją były w szczególności błędy tych pracowników, skutkujące nie dotrzymaniem przez Fioletowych terminu. UODO zwraca uwagę, że nadzór nad pracownikami jest po stronie każdego pracodawcy (administratora danych) i to on ponosi odpowiedzialność. Można zatem uznać, że proces wysyłania zawiadomień o zgłoszeniu naruszenia był w spółce zorganizowany nieprawidłowo. Powtarzające się zgłoszenia naruszenia danych osobowych z przekroczeniem terminu 24 godzin świadczą o braku zastosowania odpowiednich środków w celu wyeliminowania podobnych zdarzeń w przyszłości.
W lutym 2021 roku Play zmienił praktykę zawiadomienia organu nadzorczego. Od tej pory naruszenia składane są przez operatora za pośrednictwem platformy ePUAP.
Wynikający z rozporządzenia 611/2013 termin 24 godzin na zgłoszenie naruszenia ochrony danych jest nieprzypadkowy. Ważny jest bowiem odpowiednio szybki czas reakcji UODO na zaistniałe naruszenia, która może zapobiec ewentualnym negatywnym konsekwencjom dla osób, których dane dotyczą, lub przynajmniej je ograniczyć. Chodzi tu np. o sytuacje, w których naruszenie może prowadzić do kradzieży tożsamości, straty finansowej czy też naruszenia tajemnic prawnie chronionych. Takie sytuacje mogą mieć miejsce, gdy zakres ujawnionych danych obejmuje np. informacje widniejące w dowodach tożsamości, a więc nie tylko imię i nazwisko, ale nr PESEL, nr dokumentu, adres.
Celem zgłaszania naruszeń UODO jest przede wszystkim ochrona praw lub wolności osób fizycznych, ale także dokonanie przez organ nadzorczy oceny, czy administrator prawidłowo wypełnił obowiązek zawiadomienia o naruszeniu osób, których dane dotyczą, czy podjął też odpowiednie działania w celu zminimalizowania ryzyka wystąpienia podobnego naruszenia w przyszłości.
– wyjaśnia UODO
Nałożona kara administracyjna w wysokości 100 tysięcy złotych jest w opinii UODO adekwatna do stwierdzonego naruszenia przepisów. Pełna treść decyzji jest dostępna pod tym adresem.
Zobacz: UOKiK znów oskarża Orange Polska. Poszło o Flash SMS-y i direct billing
Zobacz: UOKiK: Plus naprawi usługi premium oraz wypłaci rekompensaty
Źródło zdjęć: Pixabay
Źródło tekstu: UODO
