100 tys. zł kary dla Play. Poszło o dane osobowe

W tym sezonie wyjątkowo modne są kare nakładane na operatorów telefonicznych działających w Polsce. W kwietniu tego roku dowiedzieliśmy się, że decyzją UOKiK Orange ma zwrócić pieniądze klientom i zapłacić 30 mln złotych kary. W połowie maja informowaliśmy Was z kolei, że UOKiK nałożył karę na operatora sieci Plus za wprowadzanie Polaków w błąd. Tym razem na celowniku znalazła się spółka P4, zarządzająca siecią Play.

Symboliczna kara dla P4

Prezes Urzędu Ochrony Danych Osobowych poinformował o nałożeniu na spółkę P4 administracyjnej kary pieniężnej. Jej wysokość znaczącą odbiega od kar od UOKiK. P4 musi zapłacić 100 tys. złotych za niezawiadomienie organu nadzorczego w terminie 24 godzin o wykryciu naruszenia danych osobowych.

Decyzja dotyczy uchybień w odniesieniu do zgłoszenia naruszenia danych z października 2020 roku oraz w odniesieniu do czterech zgłoszeń naruszeń danych z grudnia 2020 roku, które zostały wysłane jako jedna przesyłka do UODO. Postępowaniem objęto łącznie pięć naruszeń danych osobowych, zgłoszonych po upływie 24 godzin od ich wykrycia.

Spółka w toku postępowania wyjaśniła, że dokonanie zawiadomień o naruszeniu danych osobowych po upływie 24 godzin związane było z nieumyślnym błędem pracowników kancelarii odpowiedzialnych za wysyłkę korespondencji. Błąd ten polegał m.in. na niewpisaniu korespondencji do książki nadawczej, czego efektem był jej zwrot przez operatora pocztowego. Tymczasem, zgłoszenia da się dokonywać także elektronicznie poprzez platformę ePUAP lub biznes.gov.pl. Firma robiła to tymczasem znacznie wolniejszą drogą pocztową.

Aparat państwowy coraz baczniej przygląda się wyciekom danych obywateli. Coraz częściej sięga też po kary. | Źródło: Canva Pro

To nie jest odosobnione przewinienie P4

Urzędu Ochrony Danych Osobowych podkreśla, że naruszenie terminu zgłoszenia incydentów bezpieczeństwa ochrony danych nie ma charakteru jednorazowego. Zawiadomienia nie były pierwszymi, jakie spółka składała do organu nadzorczego po upływie 24 godzin od jego wykrycia. UODO niejednokrotnie kierował do spółki pisma o złożenie wyjaśnień dotyczących zgłaszania naruszeń po upływie terminu.

„Spółka nie wyciągnęła żadnych wniosków, a w szczególności nie zmieniła sposobu organizacji wysyłki korespondencji dotyczącej zawiadomień o naruszeniach danych osobowych kierowanych do UODO, nadal wysyłając ją za pośrednictwem operatora pocztowego, co wymagało zaangażowania w ten proces m.in. pracowników kancelarii odpowiedzialnych za jej wysyłkę. Konsekwencją były w szczególności błędy tych pracowników, skutkujące nie dotrzymaniem przez spółkę ww. terminu. Nadzór nad pracownikami jest po stronie każdego pracodawcy, czyli administratora danych i to on ponosi odpowiedzialność” – czytamy w uzasadnieniu decyzji.

Źródło: UODO