fbTrack
REKLAMA
REKLAMA

Dane osobowe

136 tys. zł kary przez załącznik do maila - ENEA S.A. ukarana za brak zgłoszenia naruszenia RODO

Adobe Stock
Prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę ENEA S.A. administracyjną karę pieniężną w wysokości ponad 136 tys. zł za brak zgłoszenia naruszenia ochrony danych osobowych. Polegało ono na wysłaniu e-maila z niezabezpieczonym hasłem i niezaszyfrowanym załącznikiem zawierającym dane osobowe kilkuset osób.

Informacja o naruszeniu wpłynęła do Urzędu Ochrony Danych Osobowych (UODO) od osoby, która mimowolnie stała się nieuprawnionym adresatem danych osobowych. Nadawcą maila był współpracownik spółki ENEA.

UODO zwróciło się do spółki o wyjaśnienie okoliczności zdarzenia, przedstawienie analizy incydentu i ocenę, czy  nie ma potrzeby zawiadomienia o naruszeniu zarówno organu nadzorczego, jak i osób, których ono dotyczyło.

Spółka odpowiedziała, że po analizie ryzyka naruszenia praw i wolności osób fizycznych uznała, że nie było konieczności zawiadomienia UODO. ENEA zapewniła, że zareagowała szybko i zdobyła oświadczenie nieuprawnionego adresata, że w sposób trwały zniszczył załącznik, do którego otrzymania nie był upoważniony. Dzięki temu wyeliminowano negatywne skutki incydentu w przyszłości.

Jednak UODO wszczął wobec spółki postępowanie administracyjne z powodu niezgłoszenia naruszenia. W trakcie postępowania  spółka podtrzymała swoje stanowisko przedstawione w korespondencji prowadzonej z Urzędem od czerwca 2020 roku i nadal nie zgłosiła naruszenia organowi nadzorczemu. Obowiązku wynikającego z art. 33 RODO nie wykonała do dnia wydania decyzji o ukaraniu. Zgodnie z tym przepisem, po stwierdzeniu naruszenia  administrator danych bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

- Nieuprawnionemu odbiorcy wysłano wiadomość e-mail wraz z załącznikiem w postaci niezaszyfrowanego pliku zawierającego dane osobowe adresata wiadomości i innych osób. Oznacza to, że doszło do naruszenia bezpieczeństwa prowadzącego do przypadkowego ujawnienia danych osobowych osobie nieuprawnionej do otrzymania tych danych, a więc do naruszenia poufności danych tych osób, co przesądza, że wystąpiło naruszenie ochrony danych osobowych - podkreśla PUODO.

Ustalając wysokość administracyjnej kary pieniężnej, Urząd uwzględnił okoliczności łagodzące  tj. działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą.

Źródło: rp.pl
REKLAMA
REKLAMA
REKLAMA
NAJNOWSZE Z RP.PL
REKLAMA
REKLAMA
REKLAMA
REKLAMA: automatycznie wyświetlimy artykuł za 15 sekund.
REKLAMA
REKLAMA