Od momentu wykrycia naruszenia ochrony danych firma telekomunikacyjna ma jedynie 24 godziny, by zgłosić naruszenie ochrony danych. Za niedotrzymanie tego terminu grożą kary pieniężne, o czym już dwukrotnie przekonała się P4 sp. z o.o. Szczegóły w artykule.
Sprawa rozpoczęła się od sygnalizacji ze strony klienta, który otrzymał zestaw dokumentów z umową telekomunikacyjną mimo że te dokumenty jej nie dotyczyły. Innymi słowy korespondencja e-mail z danymi osobowymi trafiła do nieuprawnionej osoby. P4 Sp. z o.o. została więc wezwana do wyjaśnień, dlaczego nie zgłosiła naruszenia ochrony danych i umożliwiła dostęp nieuprawnionej osobie do danych osobowych.
Z wyjaśnień spółki wynikało, że klient wskazał numer telefonu i adres e-mail do kontaktu. Następnie wygenerowano wiadomość e-mail z kopią umowy i wysłano na podany adres e-mail. W dalszej kolejności spółka otrzymała informację od tego klienta, że podał on błędny adres e-mail.
Spółka pierwotnie nie zgłosiła incydentu do Prezesa UODO ani podmiotu danych, ponieważ nie uznała go za naruszenie ochrony danych.
Zgłoszenia takie nastąpiły dopiero po zawiadomieniu spółki przez organ nadzorczy o wszczęciu postępowania.
Warto przypomnieć, że zgłoszenia naruszenia ODO dokonywane przez firmy telekomunikacyjne są odjęte odrębnymi, krótszymi terminami. Zgłoszenia do Prezesa UODO należy dokonać w ciągu 24 godzin od dnia wykrycia naruszenia.
Rada dla ADO
Termin zgłoszenia naruszenie ODO w przypadku firmy telekomunikacyjnej zależy od momentu wykrycia incydentu. Wykrycie takie następuje w momencie, gdy firma uzyskała wiedzę o zaistnieniu zdarzenia naruszającego ochronę, które doprowadziło do naruszenia ochrony danych osobowych – wystarczającą, by dokonać zgłoszenia.
Z kolei zawiadomienie podmiotów danych o zdarzeniu jest konieczne, gdy naruszenie to może mieć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną. Zawiadomienia dokonuje się wówczas niezwłocznie.
Jak wskazał Prezes UODO, administrator dowiedział się o incydencie już w momencie, gdy klient poinformował go, że wskazany przez niego adres e-mail jest nieprawidłowy. W ocenie organu nadzorczego ta informacja wystarczyła do stwierdzenia, że doszło do naruszenia ochrony danych i od tego momentu biegł już 24-godzinny termin na zgłoszenie naruszenia. Tymczasem zgłoszenie naruszenia do Prezesa UODO i powiadomienie podmiotu danych nastąpiło ze znacznym opóźnieniem.
Dlatego właśnie P4 sp. z o.o. wymierzono karę pieniężną w wysokości 250 tys. zł. Orzeczenie to jest oczywiście nieprawomocne i nie można wykluczyć jego zaskarżenia do Wojewódzkiego Sądu Administracyjnego w Warszawie.
Nie była to pierwsza kara wymierzona spółce P4 sp. z o.o., co zresztą miało wpływ na wymiar sankcji. Przeczytaj także: P4 ukarana za nieterminowe zgłoszenie>>
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
