Kara dla Spółki P4 w wysokości 100.000,00 zł

Prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę P4 administracyjną karę pieniężną w wysokości 100 tys. złotych za niezawiadomienie organu nadzorczego w terminie 24 godzin o wykryciu naruszenia danych osobowych.

Jak poinformował Urząd, powodem nałożenia administracyjnej kary pieniężnej jest naruszenie przez spółkę przepisów Prawa telekomunikacyjnego oraz rozporządzenia Komisji  (UE) nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej. W świetle przepisów Prawa telekomunikacyjnego przedsiębiorca telekomunikacyjny- administrator danych – nie tylko musi chronić dane osobowe swoich klientów, ale także w przypadku stwierdzenia naruszenia bezpieczeństwa danych osobowych zobowiązany jest w szczególności powiadomić o tym organ ds. ochrony danych osobowych, a także abonenta lub użytkownika końcowego, którego dane zostały naruszone. Ponadto na mocy tych przepisów administrator danych jest zobowiązany do zawiadomienia organu nadzorczego o naruszeniu danych osobowych w terminie 24 godzin.

Niniejsza decyzja dotyczy uchybień w odniesieniu do zgłoszenia naruszenia danych z października 2020 roku oraz w odniesieniu do czterech zgłoszeń naruszeń danych z grudnia 2020 roku, które zostały wysłane jako jedna przesyłka do UODO. Zatem postępowaniem tym objęto łącznie pięć naruszeń danych osobowych, zgłoszonych po upływie 24 godzin od ich wykrycia. Spółka w postępowaniu wyjaśniła, że dokonanie zawiadomień o naruszeniu danych osobowych po upływie 24 godzin związane było z nieumyślnym błędem pracowników kancelarii odpowiedzialnych za wysyłkę korespondencji. Błąd ten polegał m.in. na niewpisaniu korespondencji do książki nadawczej, czego efektem był jej zwrot przez operatora pocztowego. Należy jednak odnotować, że naruszenie terminu zgłoszenia incydentów bezpieczeństwa ochrony danych nie miało charakteru jednorazowego. Zawiadomienia te nie były pierwszymi, jakie spółka składała do organu nadzorczego po upływie 24 godzin od jego wykrycia.

Decyzja: https://www.uodo.gov.pl/decyzje/DKN.5131.10.2020

Kara dla spółki Funeda Sp. z o.o. w wysokości ponad 22 tysięcy złotych

Spółka Funeda Sp. z o.o. naruszyła przepisy ogólnego rozporządzenia o ochronie danych (RODO), polegające na braku współpracy z Urzędu Ochrony Danych Osobowych w ramach wykonywania przez organ nadzorczy zadań. Na spółkę została nałożona administracyjna kara pieniężna w wysokości ponad 22 tysięcy złotych.

Brak współpracy polegał na tym, że ukarana spółka nie zapewniła dostępu do wszelkich danych osobowych i informacji niezbędnych UODO do rozpatrzenia skargi na nieprawidłowości w procesie przetwarzania danych osobowych skarżącego. Urząd w ramach wszczętego postępowania administracyjnego prowadzonego w celu rozpatrzenia wniesionej skargi, zwrócił się do spółki o ustosunkowanie się do treści skargi oraz o udzielenie odpowiedzi na szczegółowe pytania dotyczące sprawy. UODO dwukrotnie wezwał spółkę do udzielenia wyjaśnień niezbędnych do rozpatrzenia sprawy. Spółka pomimo odbioru korespondencji do chwili obecnej nie udzieliła żadnej odpowiedzi na pisma skierowane do niej.

Decyzja: https://www.uodo.gov.pl/decyzje/DKE.561.25.2020

Kara dla Spółki PNP S.A. w wysokości ponad 22 tys. złotych

Powodem nałożenia kary pieniężnej jest brak współpracy z organem nadzorczym oraz niezapewnienie dostępu do wszelkich informacji niezbędnych do realizacji przez UODO zadań.

UODO w celu ustalenia stanu faktycznego sprawy zainicjowanej skargą, trzykrotnie zwrócił się do ukaranej Spółki z wezwaniem do ustosunkowania się do treści tej skargi oraz do złożenia wyjaśnień. Żadne ze skierowanych do Spółki wezwań – na adresy ujawnione w Rejestrze Przedsiębiorców Krajowego Rejestru Sądowego jako adresy lokalu jej siedziby – nie zostało przez Spółkę odebrane pomimo dwukrotnego ich awizowania. W związku z tym wysłane Spółce wezwania zostały uznane za doręczone.

W konsekwencji niepodejmowania przez Spółkę kierowanej do niej korespondencji, UODO nie uzyskało informacji niezbędnych do rozpatrzenia sprawy. Stanu tego nie zmieniło również wszczęcie postępowania w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej. Pismo informujące o wszczęciu takiego postępowania również nie zostało przez Spółkę odebrane.

Jak przypomina UODO obowiązek współpracy z organem nadzorczym jest identyczny dla administratora i podmiotu przetwarzającego. Współpraca ta, obejmuje konieczność przedstawienia organowi nadzorczemu – na jego żądanie – wszelkich posiadanych przez administratora lub podmiot przetwarzający informacji związanych z prowadzonym postępowaniem.

Decyzja: https://uodo.gov.pl/decyzje/DKE.561.23.2020