Rzeczpospolita
Prawo

Operator Play ma zapłacić 250 tys. zł kary za zignorowanie RODO

P4 Sp. z o.o., operator sieci Play, została ukarana przed Prezesa Urzędu Ochrony Danych Osobowych za brak niezwłocznego powiadomienia o naruszeniu danych osobowych jednego abonenta. Ma za to zapłacić aż 250 tys. zł.

Publikacja: 23.11.2022 12:54

Operator Play ma zapłacić 250 tys. zł kary za zignorowanie RODO

Foto: cyfrowa.rp.pl

dgk

Do UODO wpłynęła informacja od osoby, która otrzymała od operatora Play zestaw dokumentów dotyczących zawarcia umowy telekomunikacyjnej przez inną osobę. UODO zwrócił się do spółki P4 o udzielenie informacji na temat naruszenia danych osobowych polegającego na umożliwieniu nieuprawnionej osobie trzeciej wglądu do  dokumentów zawierających dane innej osoby. Poprosił też   o informację, czy doszło do zawiadomienia osoby, której dane dotyczą.

W udzielonej odpowiedzi spółka wyjaśniła, że oprócz danych niezbędnych do zawarcia umowy, klient wskazał do kontaktu również numer telefonu oraz adres e-mail. Podczas procesu zawarcia umowy została wygenerowana wiadomość e-mail zawierająca kopię umowy wraz z załącznikami, a następnie została ona wysłana na adres wskazany przez klienta. Administrator oświadczył też, że sam klient wrócił do niego z informacją, iż adres e-mail wskazany w umowie jest błędny i poprosił o jego usunięcie.

Czytaj więcej

Nie zweryfikowali komu powierzają dane, zapłacą karę od UODO
Dane osobowe
Nie zweryfikowali komu powierzają dane, zapłacą karę od UODO

Spółka przyznała, że dokumentów nie trzeba wysyłać za pośrednictwem poczty elektronicznej. Wystarczy odznaczyć specjalne pole w systemie sprzedażowym, czego jednak pracownik administratora nie  zrobił.  Dlatego mail z kopiami dokumentów został wysłany na błędny, jak się okazało, adres.

Jednak w ocenie spółki, zdarzenie nie spowodowało naruszenia danych osobowych, dlatego nie zgłosiła go do UODO i nie powiadomiła o nim klienta (abonenta). Dopiero po otrzymaniu informacji o wszczęciu przez UODO postępowania w tej sprawie, administrator przesłał do Urzędu zgłoszenie naruszenia danych osobowych. Dołączył do niego treść listownego powiadomienia wysłanego do abonenta o naruszeniu ochrony jego danych osobowych.

Zrobił to jednak o wiele za późno. Zgodnie z przepisami Prawa telekomunikacyjnego dostawca publicznie dostępnych usług telekomunikacyjnych ma zawiadomić UODO o naruszeniu nie później niż 24 godziny od jego wykrycia. A w przypadku gdy naruszenie ochrony danych osobowych może mieć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, dostawca publicznie dostępnych usług telekomunikacyjnych musi niezwłocznie po wykryciu zawiadomić o takim naruszeniu również abonenta lub użytkownika końcowego.

W obu przypadkach ważny jest moment wykrycia naruszenia.

- Uznaje się, że doszło do wykrycia naruszenia ochrony danych osobowych, gdy dostawca uzyskał wystarczającą wiedzę o zaistnieniu zdarzenia naruszającego ochronę, które doprowadziło do naruszenia ochrony danych osobowych, w celu przekazania powiadomienia zgodnie z wymogami wynikającymi z właściwych przepisów - wyjaśniał UODO.

W przypadku operatora Play, administrator aż dwukrotnie dostał informacje, które pozwoliłyby na wykrycie naruszenia ochrony danych osobowych. Po raz pierwszy, gdy sam klient zwrócił się do niego z informacją, iż adres e-mail wskazany przez niego podczas procesu podpisania umowy jest błędny i poprosił o jego usunięcie, co zostało przez spółkę odnotowane w stosownym zgłoszeniu. Drugi raz, gdy administrator odebrał pismo od UODO wzywające do złożenia wyjaśnień.

- Już uzyskanie pierwszej informacji  było wystarczające do wykrycia naruszenia ochrony danych osobowych. Tymczasem spółka zawiadomiła organ nadzorczy oraz abonenta dopiero po wszczęciu postępowania administracyjnego - zauważa UODO.

W ocenie Urzędu, zakres naruszenia, czas jego trwania oraz jego skutki (nieuprawniona osoba zyskała możliwość posługiwaniem się cudzymi danymi osobowymi, co może prowadzić do szkody majątkowej, czy naruszenia dóbr osobistych) uzasadniają konieczność nałożenia na spółkę kary pieniężnej w wysokości 250 tys. zł.  Na jej wysokość wpłynął także fakt, że nie był to pierwszy przypadek zwłoki w zawiadomieniu o naruszeniu ochrony danych przez tego administratora. 

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: rp.pl

Firmy P4 Dane Osobowe Play
Papież Franciszek zmarł 21 kwietnia 2025 r. w wieku 88 lat, zgodnie z informacją Stolicy Apostolskie
Prawo w Polsce
Będzie żałoba narodowa po śmierci papieża Franciszka. Podano termin
Citi Handlowy: Konto oszczędnościowe do 200 tys. zł. Oferta ważna do 12.05.2025
Materiał Promocyjny
Citi Handlowy: Konto oszczędnościowe do 200 tys. zł. Oferta ważna do 12.05.2025
Advertisement
Kontrowersyjna metoda leczenia boreliozy. Sąd: oświadczenia pacjentów to nie wiedza medyczna
Prawo dla Ciebie
Oświadczenia pacjentów to nie wiedza medyczna. Sąd o leczeniu boreliozy
Trybunał zdecydował w sprawie dożywotniego zakazu prowadzenia aut
Prawo drogowe
Trybunał zdecydował w sprawie dożywotniego zakazu prowadzenia aut
Ranking firm doradztwa podatkowego: Wróciły dobre czasy. Oto najsilniejsi
Zawody prawnicze
Ranking firm doradztwa podatkowego: Wróciły dobre czasy. Oto najsilniejsi
Škoda obniża ceny hybrydowych wersji Škody Superb i Škody Kodiaq
Materiał Promocyjny
Škoda obniża ceny hybrydowych wersji Škody Superb i Škody Kodiaq
Advertisement
Dziecko trojga rodziców przyszło na świat dzięki terapii MDF
Prawo rodzinne
Zmuszony do ojcostwa chce pozwać klinikę in vitro. Pierwsza sprawa w Polsce
Ducato w leasingu 102,9% z pakietem ubezpieczeń OC/AC za 1% wartości auta
Materiał Promocyjny
Ducato w leasingu 102,9% z pakietem ubezpieczeń OC/AC za 1% wartości auta
Advertisement
e-Wydanie