Urząd Ochrony Danych Osobowych nałożył 100 tys. zł kary na spółkę P4, właściciela sieci komórkowej Play. Zgłaszał on bowiem naruszenia związane z danymi osobowymi później niż w ciągu przepisowych 24 godziny.

Co ciekawe, kara nie została nałożona na podstawie RODO tylko przepisów telekomunikacyjnych. Chodzi o rozporządzenie Komisji (UE) nr 611/2013 w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, którego regulację powtórzono również w polskiej ustawie – Prawo telekomunikacyjne (t.j. Dz.U. z 2021 r. poz. 576 ze zm.) O ile RODO nakazuje administratorom zgłaszanie naruszeń organowi w ciągu 72 godz., o tyle ta regulacja w stosunku do firm telekomunikacyjnych skraca ten czas do 24 godz.
Decyzja o karze nałożonej przez UODO odnosi się do czterech zgłoszeń związanych z naruszeniem danych, ale wspomniano w niej, że sytuacje takie się powtarzały. Operator przesyłał zgłoszenia dotyczące wykrytych naruszeń ze sporym opóźnieniem. Jak później tłumaczył, wynikało to z błędu pracownika firmowej kancelarii, który nie wpisał adresu UODO do książki nadawczej. Inspektor ochrony danych Play pouczył szefa kancelarii o tym, jak ważna jest terminowa wysyłka korespondencji kierowanej do urzędu.
‒ Nadzór nad pracownikami jest po stronie każdego pracodawcy, czyli administratora danych, i to on ponosi odpowiedzialność. Można zatem uznać, że proces wysyłania zawiadomień o zgłoszeniu naruszenia był w spółce zorganizowany nieprawidłowo. Powtarzające się zgłoszenia naruszenia danych osobowych z przekroczeniem terminu 24 godz. świadczą o braku zastosowania odpowiednich środków w celu wyeliminowania podobnych zdarzeń w przyszłości – podkreśla Adam Sanocki, rzecznik prasowy UODO.
Firma kilkakrotnie była informowana przez urząd, że zgłoszenia można przesyłać nie tylko na piśmie, lecz także drogą elektroniczną. Bez reakcji.
‒ Spółka nie wyciągnęła żadnych wniosków, a w szczególności nie zmieniła sposobu organizacji wysyłki korespondencji dotyczącej zawiadomień o naruszeniach danych osobowych kierowanych do UODO, nadal wysyłając ją za pośrednictwem operatora pocztowego – zauważa Adam Sanocki.
Dopiero w lutym 2021 r. Play zaczął wysyłać zgłoszenia drogą elektroniczną. Wcześniejsze opóźnienia zostały przez UODO uznane za stałą praktykę, co miało wpływ na wysokość kary.
Przyspieszony czas na przesyłanie zgłoszeń ma zapobiegać negatywnym konsekwencjom dla abonentów telefonicznych. Chodzi zwłaszcza o ograniczenie ryzyka kradzieży tożsamości.