Do UODO wpłynęła informacja od osoby, która otrzymała od operatora Play zestaw dokumentów dotyczących zawarcia umowy telekomunikacyjnej przez inną osobę. UODO zwrócił się do spółki P4 o udzielenie informacji na temat naruszenia danych osobowych polegającego na umożliwieniu nieuprawnionej osobie trzeciej wglądu do  dokumentów zawierających dane innej osoby. Poprosił też   o informację, czy doszło do zawiadomienia osoby, której dane dotyczą.

W udzielonej odpowiedzi spółka wyjaśniła, że oprócz danych niezbędnych do zawarcia umowy, klient wskazał do kontaktu również numer telefonu oraz adres e-mail. Podczas procesu zawarcia umowy została wygenerowana wiadomość e-mail zawierająca kopię umowy wraz z załącznikami, a następnie została ona wysłana na adres wskazany przez klienta. Administrator oświadczył też, że sam klient wrócił do niego z informacją, iż adres e-mail wskazany w umowie jest błędny i poprosił o jego usunięcie.

Czytaj więcej

Nie zweryfikowali komu powierzają dane, zapłacą karę od UODO

Spółka przyznała, że dokumentów nie trzeba wysyłać za pośrednictwem poczty elektronicznej. Wystarczy odznaczyć specjalne pole w systemie sprzedażowym, czego jednak pracownik administratora nie  zrobił.  Dlatego mail z kopiami dokumentów został wysłany na błędny, jak się okazało, adres.

Jednak w ocenie spółki, zdarzenie nie spowodowało naruszenia danych osobowych, dlatego nie zgłosiła go do UODO i nie powiadomiła o nim klienta (abonenta). Dopiero po otrzymaniu informacji o wszczęciu przez UODO postępowania w tej sprawie, administrator przesłał do Urzędu zgłoszenie naruszenia danych osobowych. Dołączył do niego treść listownego powiadomienia wysłanego do abonenta o naruszeniu ochrony jego danych osobowych.

Zrobił to jednak o wiele za późno. Zgodnie z przepisami Prawa telekomunikacyjnego dostawca publicznie dostępnych usług telekomunikacyjnych ma zawiadomić UODO o naruszeniu nie później niż 24 godziny od jego wykrycia. A w przypadku gdy naruszenie ochrony danych osobowych może mieć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, dostawca publicznie dostępnych usług telekomunikacyjnych musi niezwłocznie po wykryciu zawiadomić o takim naruszeniu również abonenta lub użytkownika końcowego.

W obu przypadkach ważny jest moment wykrycia naruszenia.

- Uznaje się, że doszło do wykrycia naruszenia ochrony danych osobowych, gdy dostawca uzyskał wystarczającą wiedzę o zaistnieniu zdarzenia naruszającego ochronę, które doprowadziło do naruszenia ochrony danych osobowych, w celu przekazania powiadomienia zgodnie z wymogami wynikającymi z właściwych przepisów - wyjaśniał UODO.

Czytaj więcej

Naruszenie ochrony danych osobowych: błąd klienta nie usprawiedliwia ubezpieczyciela

W przypadku operatora Play, administrator aż dwukrotnie dostał informacje, które pozwoliłyby na wykrycie naruszenia ochrony danych osobowych. Po raz pierwszy, gdy sam klient zwrócił się do niego z informacją, iż adres e-mail wskazany przez niego podczas procesu podpisania umowy jest błędny i poprosił o jego usunięcie, co zostało przez spółkę odnotowane w stosownym zgłoszeniu. Drugi raz, gdy administrator odebrał pismo od UODO wzywające do złożenia wyjaśnień.

- Już uzyskanie pierwszej informacji  było wystarczające do wykrycia naruszenia ochrony danych osobowych. Tymczasem spółka zawiadomiła organ nadzorczy oraz abonenta dopiero po wszczęciu postępowania administracyjnego - zauważa UODO.

W ocenie Urzędu, zakres naruszenia, czas jego trwania oraz jego skutki (nieuprawniona osoba zyskała możliwość posługiwaniem się cudzymi danymi osobowymi, co może prowadzić do szkody majątkowej, czy naruszenia dóbr osobistych) uzasadniają konieczność nałożenia na spółkę kary pieniężnej w wysokości 250 tys. zł.  Na jej wysokość wpłynął także fakt, że nie był to pierwszy przypadek zwłoki w zawiadomieniu o naruszeniu ochrony danych przez tego administratora.