100 tys. zł kary administracyjnej nałożył na P4, operatora sieci Play prezes Urzędu Ochrony Danych Osobowych za niezawiadomienie organu nadzorczego w terminie 24 godzin o wykryciu naruszenia danych osobowych – wynika z komunikatu UODO.
Prezes UODO uznał, że operator naruszył przepisy ustawy Prawo telekomunikacyjne oraz rozporządzenia Komisji nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych.
Decyzja o karze związana jest z uchybieniami dotyczącymi jednego zgłoszenia naruszenia danych z października 2020 r. i czterech zgłoszeń naruszeń danych z grudnia ub.r., które zostały wysłane do UODO jako jedna przesyłka.
Jak informuje UODO, operator w postępowaniu wyjaśnił, że poinformowanie o naruszeniu danych po upływie 24 godzin spowodowane było „nieumyślnym błędem pracowników kancelarii odpowiedzialnych za wysyłkę korespondencji”. Błąd ten polegał m.in. na niewpisaniu korespondencji do książki nadawczej, czego efektem był jej zwrot przez operatora pocztowego. Spółka argumentowała, że pięć złożonych po terminie zawiadomień „to jedynie 1,5 proc. wszystkich naruszeń zgłoszonych organowi nadzorczemu w 2020 r.”, a to – zdaniem P4 – oznacza, że „naruszenie terminu zgłoszenia naruszenia ma charakter incydentalny”.
- Należy jednak odnotować, że naruszenie terminu zgłoszenia incydentów bezpieczeństwa ochrony danych nie ma charakteru jednorazowego. Zawiadomienia te nie były pierwszymi, jakie spółka składała do organu nadzorczego po upływie 24 godzin od jego wykrycia. UODO niejednokrotnie też kierował do spółki pisma o złożenie wyjaśnień dotyczących zgłaszania naruszeń po upływie terminu – czytamy w komunikacie Urzędu.
UODO podkreśla, że kilkukrotnie informował spółkę, że zgłoszenia naruszenia danych osobowych można dokonać na dwa sposoby: elektronicznie oraz pocztą tradycyjną, a także wskazywał, że najszybszą drogą jest wysłanie zgłoszenia za pośrednictwem platformy biznes.gov.pl lub platformy ePUAP, co zapewnia dotrzymanie terminu określonego w rozporządzeniu 611/2013.
- Spółka nie wyciągnęła żadnych wniosków, a w szczególności nie zmieniła sposobu organizacji wysyłki korespondencji dotyczącej zawiadomień o naruszeniach danych osobowych kierowanych do UODO, nadal wysyłając ją za pośrednictwem operatora pocztowego, co wymagało zaangażowania w ten proces m.in. pracowników kancelarii odpowiedzialnych za jej wysyłkę. (…) Nadzór nad pracownikami jest po stronie każdego pracodawcy, czyli administratora danych i to on ponosi odpowiedzialność. Można zatem uznać, że proces wysyłania zawiadomień o zgłoszeniu naruszenia był w spółce zorganizowany nieprawidłowo – stwierdzono w komunikacie.
Urząd informuje jednocześnie, że w lutym br. P4 zmieniło sposób zawiadamiania Urzędu o naruszeniu danych i spółka robi to za pośrednictwem platformy ePUAP.