MISZMASZ TWOJA GAZETA

PORTAL DLA DŁUŻNIKÓW, WIERZYCIELI, KOMORNIKÓW, SĘDZIÓW I PRAWNIKÓW
Dziś jest:  poniedziałek 30 stycznia 2023r.

PRZEGLĄD PRASY

  • Miszmasz - Czarny Piar
  • Miszmasz - Czarny Piar
  • Miszmasz - Czarny Piar
  • Miszmasz - Czarny Piar
  • Miszmasz - Czarny Piar

Do Urzędu Ochrony Danych Osobowych wpłynęła informacja przekazana pocztą elektroniczną przez osobę trzecią, wskazująca, że jest ona nieuprawnionym odbiorcą zestawu dokumentów dotyczących zawarcia umowy telekomunikacyjnej

 

W związku z tym, UODO zwrócił się do spółki o udzielenie informacji na temat naruszenia danych osobowych polegającego na umożliwieniu nieuprawnionej osobie trzeciej wglądu do wskazanych dokumentów oraz o przedstawienie oceny pod kątem obowiązku zgłoszenia naruszenia organowi nadzorczemu oraz zawiadomienia osoby, której dane dotyczą.

 

Błędny adres e-mail

Spółka udzieliła odpowiedzi, z której wynikało, że oprócz danych niezbędnych do zawarcia umowy, klient wskazał do kontaktu również numer telefonu oraz adres e-mail. Podczas procesu zawarcia umowy została wygenerowana wiadomość e-mail zawierająca kopię umowy wraz z załącznikami, a następnie została ona wysłana na adres wskazany przez klienta.

Administrator oświadczył też, że sam klient wrócił do niego następnie z informacją, iż adres e-mail wskazany w umowie jest błędny i poprosił o jego usunięcie.

 

Spółka przyznała, że można nie realizować wysyłki dokumentów za pośrednictwem poczty elektronicznej, oznaczając specjalne pole w systemie sprzedażowym, czego jednak pracownik administratora nie dokonał – nie odznaczył tego pola i dlatego e-mail z kopiami dokumentów został wysłany.

 

W ocenie spółki nie było podstaw do traktowania przedmiotowego zdarzenia jako naruszenia danych osobowych, dlatego nie zgłosiła ona ww. naruszenia do UODO oraz nie powiadomiła o nim klienta (abonenta).

 

Po otrzymaniu przez spółkę zawiadomienia od UODO o wszczęciu postępowania administracyjnego, administrator przesłał do organu nadzorczego zgłoszenie naruszenia danych osobowych wraz z treścią listownego powiadomienia abonenta o naruszeniu ochrony jego danych osobowych.

 

Zgodnie z przepisami Prawa telekomunikacyjnego dostawca publicznie dostępnych usług telekomunikacyjnych zawiadamia UODO o naruszeniu ochrony danych osobowych nie później niż 24 godziny po wykryciu takiego naruszenia.

 

Ponadto w przypadku gdy naruszenie ochrony danych osobowych może mieć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, dostawca publicznie dostępnych usług telekomunikacyjnych niezwłocznie zawiadamia o takim naruszeniu również abonenta lub użytkownika końcowego (powiadomienie to następuje bez zbędnej zwłoki po wykryciu naruszenia ochrony danych osobowych).

 

Zarówno w przypadku obowiązku zawiadomienia organu nadzorczego jak i obowiązku powiadomienia abonenta ważny jest moment wykrycia naruszenia. Uznaje się, że doszło do wykrycia naruszenia ochrony danych osobowych, gdy dostawca uzyskał wystarczającą wiedzę o zaistnieniu zdarzenia naruszającego ochronę, które doprowadziło do naruszenia ochrony danych osobowych, w celu przekazania powiadomienia zgodnie z wymogami wynikającymi z właściwych przepisów.

 

W przedmiotowej sprawie administrator uzyskał dwukrotnie informacje, które pozwoliłyby na wykrycie naruszenia ochrony danych osobowych. Po raz pierwszy, kiedy to sam klient zwrócił się do administratora z informacją, iż adres e-mail wskazany przez niego podczas procesu podpisania umowy jest błędny i poprosił o jego usunięcie, co zostało przez spółkę odnotowane w stosownym zgłoszeniu. A po raz drugi, gdy administrator odebrał pismo od UODO wzywające do złożenia wyjaśnień dotyczących naruszenia ochrony danych osobowych polegającego na umożliwieniu nieuprawnionej osobie trzeciej wglądu do zestawu dokumentów (umowy).

 

W ocenie UODO już uzyskanie pierwszej z ww. informacji (wraz z wiedzą o obowiązującej procedurze wysyłki dokumentów w formie elektronicznej) było wystarczające do wykrycia naruszenia ochrony danych osobowych. Tymczasem spółka zawiadomiła organ nadzorczy oraz abonenta o naruszeniu ochrony danych osobowych dopiero po wszczęciu postępowania administracyjnego w przedmiotowej sprawie i po dokonaniu wglądu w akta sprawy.

 

W przedmiotowej sprawie doszło do naruszenia ochrony danych osobowych polegającego na udostępnieniu osobie trzeciej przez spółkę poprzez wiadomość e-mail danych abonenta zawartych w umowie. Ponadto naruszenie to może wywrzeć niekorzystny wpływ na prawa abonenta, w szczególności może skutkować nieuprawnionym posługiwaniem się danymi osobowymi, szkodą majątkową, czy naruszeniem dóbr osobistych.

 

Administrator nie tylko nie zawiadomił UODO o naruszeniu ochrony danych osobowych w terminie wynikającym z przepisów prawa, ale nie spełnił również bez zbędnej zwłoki obowiązku powiadomienia klienta o naruszeniu. To szczególnie ważne, aby umożliwić abonamentowi lub użytkownikowi końcowemu podjęcie niezbędnych działań zapobiegawczych w celu ochrony praw lub wolności przed negatywnymi skutkami naruszenia.

 

W ocenie UODO zakres naruszenia, czas jego trwania oraz jego skutki uzasadniają konieczność nałożenia na spółkę kary pieniężnej.

 

Należy także odnotować, że rozpatrywane w ramach niniejszego postępowania administracyjnego zawiadomienie organu nadzorczego o naruszeniu ochrony danych osobowych po upływie 24 godzin od jego wykrycia, nie było pierwszym takim przypadkiem w dotychczasowej działalności Administratora, co miało wpływ na wymierzoną karę pieniężną.

 

 

 

UODO

 

 

miszmasz-menu-module

NA SKRÓTY