Prezes UODO nałożył karę w wysokości 100 tys. zł na spółkę P4 w związku z nieterminowym zgłoszeniem pięciu przypadków naruszeń danych osobowych z 2020 r. - poinformował Urząd Ochrony Danych Osobowych w komunikacie.
Jak poinformował UODO, powodem nałożenia administracyjnej kary pieniężnej na spółkę P4 stało się naruszenie przepisów Prawa telekomunikacyjnego oraz rozporządzenia Komisji (UE) nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej.
Uchybienia, które stały się podstawą do nałożenia na P4 kary, dotyczą zgłoszenia przez spółkę naruszenia danych z października 2020 r. oraz czterech zgłoszeń naruszeń danych z grudnia 2020 r., które zostały do Urzędu wysłane jako jedna przesyłka. Wszystkie zgłoszenia zostały przez firmę wysłane ponadto w terminie przekraczającym 24 godziny od ich wykrycia.
Firma P4 wyjaśniła, że zawiadomienie UODO o naruszeniach danych po upływie 24 godzin od wykrycia związane było z nieumyślnym błędem pracowników kancelarii odpowiedzialnych za wysyłkę korespondencji.
UODO w swoim komunikacie podkreślił, że "naruszenie terminu zgłoszenia incydentów bezpieczeństwa ochrony danych nie ma charakteru jednorazowego", a "zawiadomienia te nie były pierwszymi, jakie spółka składała do organu nadzorczego po upływie 24 godzin od jego wykrycia". Jak dodano, "UODO niejednokrotnie też kierował do spółki pisma o złożenie wyjaśnień dotyczących zgłaszania naruszeń po upływie terminu".
Urząd ponadto zaznaczył, że 24-godzinny termin na zgłoszenie naruszenia ochrony danych jest istotny ze względu na odpowiednio szybki czas reakcji UODO na zaistniałe naruszenia, która może zapobiec ewentualnym negatywnym konsekwencjom dla osób, których dane dotyczą.
Chodzi tu np. o sytuacje, w których naruszenie może prowadzić do kradzieży tożsamości, straty finansowej czy też naruszenia tajemnic prawnie chronionych. Takie sytuacje mogą mieć miejsce, gdy zakres ujawnionych danych obejmuje np. informacje widniejące w dowodach tożsamości, a więc nie tylko imię i nazwisko, ale numer PESEL, numer dokumentu, adres