Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył na spółkę Enea S.A. karę w wysokości ponad 136 tys. zł za brak zgłoszenia naruszenia ochrony danych osobowych – poinformował w czwartek rzecznik urzędu Adam Sanocki.
Jak podał w przekazanym PAP komunikacie prasowym, naruszenie polegało na wysłaniu e-maila z niezaszyfrowanym, niezabezpieczonym hasłem załącznikiem zawierającym dane osobowe kilkuset osób. Nadawcą maila był współpracownik ukaranego przedsiębiorstwa.
"W przedmiotowej sprawie doszło do wysłania do nieuprawnionego odbiorcy wiadomości e-mail wraz z załącznikiem w postaci niezaszyfrowanego pliku zawierającego dane osobowe adresata wiadomości i innych osób. Oznacza to, że doszło do naruszenia bezpieczeństwa prowadzącego do przypadkowego ujawnienia danych osobowych osobie nieuprawnionej do otrzymania tych danych, a więc do naruszenia poufności danych tych osób, co przesądza, że wystąpiło naruszenie ochrony danych osobowych" – poinformował UODO w komunikacie.
Informację o naruszeniu ochrony danych osobowych przekazała urzędowi osoba, która stała się nieuprawnionym adresatem danych osobowych. Jak podano w komunikacie, UODO zwrócił się do spółki o wyjaśnienie okoliczności zdarzenia, przedstawienie analizy incydentu i ocenę, czy w związku z zaistniałą sytuacją nie zachodzi potrzeba zawiadomienia organu nadzorczego o naruszeniu oraz osób, których ono dotyczyło.
"Ukarany podmiot wskazał, że została dokonana ocena pod kątem ryzyka naruszenia praw i wolności osób fizycznych, na podstawie której spółka uznała, iż nie doszło do naruszenia skutkującego koniecznością zawiadomienia UODO. Ponadto przedsiębiorstwo uznało, że ze względu na szybko podjęte działania, jak oświadczenie nieuprawnionego adresata, że w sposób trwały zniszczył załącznik, do którego otrzymania nie był upoważniony, wyeliminowano możliwość zaistnienia w przyszłości negatywnych skutków tego zdarzenia dla osób, których dane dotyczą" – poinformował urząd.
Jak podano, w trakcie wszczętego postępowania administracyjnego spółka podtrzymała swoje stanowisko i nie zgłosiła naruszenia ochrony danych osobowych organowi nadzorczemu.
"Do dnia wydania niniejszej decyzji, spółka nie wykonała obowiązku wynikającego z art. 33 RODO. Ustalając wysokość administracyjnej kary pieniężnej, Urząd uwzględnił również okoliczności łagodzące, mające wpływ na ostateczny wymiar kary, tj. działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą" - poinformowano w komunikacie.
UODO przypomniał też, że zgodnie z obowiązującymi przepisami, w przypadku naruszenia ochrony danych osobowych, administrator danych bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.