Organ nadzorczy nakłada kolejną administracyjną karę pieniężną za niezgłoszenie naruszenia ochrony danych osobowych

Autor: Patryk Siewert pod red. Marcina Soczko — w kategorii Komunikaty IOD-y — 21 marca 2021

21

mar
2021

136 437 zł – w takiej kwocie karę nałożył Prezes UODO na ENEA S.A. za niezgłoszenie naruszenia ochrony danych osobowych, które dotyczyło błędu popełnionego przy wysyłce poczty elektronicznej.

Pracownik ENEA S.A. wysłał wiadomość wraz z niezaszyfrowanym załącznikiem, który zawierał dane osobowe kilkuset osób. Niestety wybrał niewłaściwy adres, przez co przesłał plik nieuprawnionej osobie. Zakres ujawnionych danych nie był szeroki, obejmował on: imię i nazwisko, adres e-mail, numery telefonów oraz informacje dotyczące daty rejestracji w ENEA S.A.

Spółka po wystąpieniu naruszenia ochrony danych osobowych powzięła środki zaradcze mające na celu minimalizację negatywnych skutków zdarzenia. Administrator wystąpił do osoby, której ujawnione zostały dane z prośbą o przesłanie oświadczenia, iż w sposób trwały zniszczyła ona załącznik z danymi osobowymi, do którego otrzymania nie była upoważniona. I takie oświadczenie zostało przesłane. Po przeprowadzeniu oceny zdarzenia, Spółka uznała, że istnieje małe prawdopodobieństwo naruszenia praw lub wolności osób, których dane dotyczą, więc nie zgłosiła naruszenia ochrony danych osobowych do organu nadzorczego oraz nie powiadomiła osób, których naruszenie dotyczyło.

Jak się później okazało, o fakcie wystąpienia naruszenia, Prezes UODO został zawiadomiony przez osobę, do której błędnie wysłano wiadomość mailową zawierającą dane osobowe. Po kilku miesiącach Prezes UODO wszczął postępowanie, w wyniku którego stwierdził, że Spółka powinna dokonać zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w terminie określonym w art. 33 ust. 1 RODO, co oznacza naruszenie przez Spółkę tego przepisu. Prezes UODO wskazał, że jeżeli występuje choćby minimalne ryzyko naruszenia praw lub wolności osób, których dane dotyczą należy dokonać zgłoszenia naruszenia ochrony danych osobowych – pisemne zapewnienie niewłaściwego odbiorcy wiadomości o trwałym usunięciu danych osobowych nie daje gwarancji, iż dane te nie zostaną wykorzystane w sposób nieuprawniony.

Brak roztropności przy przetwarzaniu danych osobowych ma bezpośredni wpływ na ryzyko wystąpienia naruszenia ochrony danych osobowych

Chwila roztargnienia lub zmęczenie może doprowadzić do naruszenia, które swoim charakterem spowoduje potrzebę dokonania jego zgłoszenia do organu nadzorczego, co zwiększa ryzyko kontroli UODO oraz ewentualnych negatywnych konsekwencji z nią związanych.

Co możesz zrobić, aby zmniejszyć ryzyko błędu, przy wysyłaniu korespondencji (nie tylko elektronicznej) zawierającej dane osobowe?

  • ostrożnie korzystaj z funkcji autouzupełniania w programie pocztowym – klient pocztowy może zasugerować błędny adres, np. w sytuacji gdy oczekiwany adresat wiadomości ma to samo imię co osoba, do której już wcześniej wysłano e-mail lub sąsiaduje z nią na liście kontaktów;

  • zabezpieczaj załączniki hasłem, wysyłanym innym kanałem komunikacji, wówczas w przypadku pomyłki niewłaściwy adresat nie będzie mógł się zapoznać z ich treścią, więc nie dojdzie do naruszenia ochrony danych osobowych;

  • przed wysłaniem wiadomości upewnij się, że wprowadziłeś poprawne dane adresowe – dotyczy to zarówno wysyłania wiadomości drogą elektroniczną jak również pocztą tradycyjną. Różnica jednej litery w adresie e-mail lub jednej cyfry w kodzie pocztowym może skutkować wysyłką do niewłaściwego, istniejącego adresata;

  • oznaczaj wysyłane listy danymi kontaktowymi (w tym numerem telefonu) oraz informacją wskazującą, aby niewłaściwy adresat nie otwierał przesyłki i powiadomił nadawcę o zaistniałym błędzie – obecnie (w czasie pandemii) Poczta Polska S.A. dostarcza listy polecone bezpośrednio do skrzynek pocztowych (nie rzadko – niewłaściwych).

Dołącz do dyskusji

Podanie adresu e-mail jest związane z moderacją treści komentarza, w szczególności z ewentualnym kontaktem z Użytkownikiem, w celu uzgodnienia ostatecznej treści, co stanowi prawnie uzasadniony interes administratora. Po opublikowaniu komentarza widoczna jest jedynie jego treść i data publikacji oraz imię autora, reszta danych jest niezwłocznie usuwana. Szczegóły dotyczące przetwarzania danych osobowych zawarte są w Polityce prywatności.