P4, operator sieci Play, ma zapłacić 250 tys. zł kary za to, że nie zawiadomił organu nadzorczego o naruszeniu danych osobowych w terminie 24 godzin od wykrycia naruszenia danych osobowych oraz za to, że nie powiadomił niezwłocznie abonenta o naruszeniu danych – poinformował Urząd Ochrony Danych Osobowych.
Urząd postępowanie zaczął w lutym 2022 r. na podstawie informacji przekazanej pocztą elektroniczną przez osobę trzecią, która stwierdziła, że jest nieuprawnionym odbiorcą zestawu dokumentów dotyczących umowy telekomunikacyjnej.
W ramach wszczętego postępowania - w marcu br. - P4 poinformowało urząd, że oprócz danych niezbędnych do zawarcia umowy, klient wskazał do kontaktu również numer telefonu oraz adres e-mail. Podczas procesu zawarcia umowy została wygenerowana wiadomość e-mail zawierająca kopię umowy wraz z załącznikami, a następnie została ona wysłana na adres wskazany przez klienta.
- Administrator oświadczył też, że sam klient wrócił do niego następnie z informacją, iż adres e-mail wskazany w umowie jest błędny i poprosił o jego usunięcie – informuje urząd i dodaje, że „w ocenie spółki nie było podstaw do traktowania przedmiotowego zdarzenia jako naruszenia danych osobowych, dlatego nie zgłosiła ona ww. naruszenia do UODO oraz nie powiadomiła o nim klienta (abonenta)”.
Jak informuje UODO, po otrzymaniu przez spółkę zawiadomienia od urzędu o wszczęciu postępowania administracyjnego, P4 przesłało do organu nadzorczego zgłoszenie naruszenia danych osobowych wraz z treścią listownego powiadomienia abonenta o naruszeniu ochrony jego danych osobowych. Nastąpiło to w kwietniu.
Urząd zwraca uwagę, że zgodnie z przepisami Prawa telekomunikacyjnego dostawca publicznie dostępnych usług telekomunikacyjnych zawiadamia UODO o naruszeniu ochrony danych osobowych nie później niż 24 godziny po wykryciu takiego naruszenia. Ponadto, w przypadku gdy naruszenie ochrony danych osobowych może mieć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, dostawca publicznie dostępnych usług telekomunikacyjnych niezwłocznie zawiadamia o takim naruszeniu również abonenta lub użytkownika końcowego. Powiadomienie to następuje bez zbędnej zwłoki po wykryciu naruszenia ochrony danych osobowych.
W tym konkretnym przypadku administrator zareagował dopiero na drugą informację o naruszeniu danych, którą był pismo z UODO wzywające do złożenia wyjaśnień dotyczących naruszenia ochrony danych osobowych. Pierwszą, w której klient informował, że podał błędny adres e-mail, zignorował.
W komunikacie prasowym UODO informuje, że niedotrzymanie przez P4 ustawowych terminów dotyczących zawiadomienia o naruszeniu danych „nie było pierwszym takim przypadkiem w dotychczasowej działalności Administratora, co miało wpływ na wymierzoną karę pieniężną”. Przypomnijmy, że w czerwcu 2021 r. za podobne naruszenie urząd nałożył na P4 100 tys. zł kary.