Pierwsza kara dotyczy Play, a jej w wysokość wynosi 100 000 złotych.
W świetle przepisów Prawa telekomunikacyjnego przedsiębiorca telekomunikacyjny ma obowiązek w przypadku stwierdzenia naruszenia bezpieczeństwa danych osobowych powiadomić o tym organ ds. ochrony danych osobowych, oraz abonenta lub użytkownika końcowego, którego dane zostały naruszone.
Przepisy obowiązujące przedsiębiorców telekomunikacyjnych nakazują im dokonanie takiego zawiadomienia w przeciągu 24 godzin - okres ten jest krótszy niż w samym RODO, gdzie jego wartość to 72 godzin.
Samo postępowanie na podstawie, którego nałożono karę dotyczyło łącznie pięciu naruszeń danych osobowych, i dotyczy zgłoszenia ich po upływie 24 godzin od ich momenty wykrycia.
Podczas składania opóźnionych zgłoszeń Spółka P4 nie informowała organu nadzorczego, jakie były przyczyny opóźnienia w powiadomieniu.
Jak podaje Urząd
UODO kilkukrotnie informował spółkę, że zgłoszenia naruszenia danych osobowych można dokonać na dwa sposoby: elektronicznie oraz pocztą tradycyjną, a także wskazywał, że najszybszą drogą jest wysłanie zgłoszenia za pośrednictwem platformy biznes.gov.pl lub platformy ePUAP, co zapewnia dotrzymanie terminu określonego w rozporządzeniu 611/2013.
oraz
Spółka nie wyciągnęła żadnych wniosków, a w szczególności nie zmieniła sposobu organizacji wysyłki korespondencji dotyczącej zawiadomień o naruszeniach danych osobowych kierowanych do UODO, nadal wysyłając ją za pośrednictwem operatora pocztowego, co wymagało zaangażowania w ten proces m.in. pracowników kancelarii odpowiedzialnych za jej wysyłkę. Konsekwencją były w szczególności błędy tych pracowników, skutkujące nie dotrzymaniem przez spółkę ww. terminu. Nadzór nad pracownikami jest po stronie każdego pracodawcy, czyli administratora danych i to on ponosi odpowiedzialność. Można zatem uznać, że proces wysyłania zawiadomień o zgłoszeniu naruszenia był w spółce zorganizowany nieprawidłowo. Powtarzające się zgłoszenia naruszenia danych osobowych z przekroczeniem terminu 24 godzin świadczą o braku zastosowania odpowiednich środków w celu wyeliminowania podobnych zdarzeń w przyszłości.
Jaki wniosek płynie z tej kary ?
Jeśli coś robisz i nie wyciągasz z tego wniosków, to może to rozpocząć postępowania administracyjne Prezesa UODO, tak jak w przypadku Play.
Podobnie rzecz ma się w przypadku zgłaszanych incydentów.
Jeśli w swoim zgłoszeniu piszesz o planowanych działaniach zaradczych, to zawsze należy je w dalszej kolejności wprowadzić w życie !
Więcej na temat samej kary – na stronie Urzędu https://uodo.gov.pl/pl/138/2082
Druga kara w wysokości 22 tysięcy złotych dotyczy Spółki Funeda, zajmującej się udzielaniem pożyczek na raty online.
To kolejny przypadek dotyczący braku współpracy z Urzędem, podobny do tego, który opisywaliśmy tutaj https://www.rodo.pl/post/kara-pnpsa
Jak tłumaczy sam Urząd:
UODO dwukrotnie wezwał spółkę do udzielenia wyjaśnień niezbędnych do rozpatrzenia sprawy. Spółka pomimo odbioru korespondencji do chwili obecnej nie udzieliła żadnej odpowiedzi na pisma skierowane do niej. W związku z nieudzielaniem informacji w sprawie, UODO wszczęło postępowanie w przedmiocie nałożenia administracyjnej kary pieniężnej. Spółka pomimo prawidłowego zawiadomienia przez organ nadzorczy, wraz z pouczeniem o przysługującym jej prawie do wypowiedzenia się co do zebranych dowodów i materiałów oraz zgłoszonych żądań, także i w tym przypadku nie podjęła żadnych czynności zmierzających do wyjaśnienia sprawy.
Należy nadmieniać, że Urząd wielokrotnie podejmował próby kontaktu telefonicznego i mailowego ze spółką w oparciu o dane zawarte na stronie internetowej. Do dnia wydania decyzji spółka nie skontaktowała się z Urzędem.
Moglibyśmy tą karę podsumować własnymi słowami stwierdzenie Urzędu jest jednak wymowne i jasno wskazujące, czego nie należy robić:
Kara ta spełni także funkcję odstraszającą, ponieważ będzie jasnym sygnałem zarówno dla spółki, jak i dla innych podmiotów, że nie należy ignorować pism organu nadzorczego. Lekceważenie obowiązków związanych ze współpracą z organem nadzorczym, w szczególności utrudnianie dostępu do informacji niezbędnych do realizacji jego zadań, stanowi naruszenie o dużej wadze i jako takie podlega sankcjom finansowym.
Link do samej decyzji https://www.uodo.gov.pl/decyzje/DKE.561.25.2020
Pozdrawiamy,
Zespół rodo.pl