250 tys. zł kary dla P4 za niezgłoszenie naruszenia danych

Jak informuje UODO, w lutym 2022 r. wpłynęła do niego informacja przekazana pocztą elektroniczną przez osobę trzecią, wskazująca, że jest ona nieuprawnionym odbiorcą zestawu dokumentów dotyczących zawarcia umowy telekomunikacyjnej. W związku z tym urząd zwrócił się do P4 o udzielenie informacji na temat naruszenia danych osobowych polegającego na umożliwieniu nieuprawnionej osobie trzeciej wglądu do wskazanych dokumentów oraz o przedstawienie oceny pod kątem obowiązku zgłoszenia naruszenia organowi nadzorczemu oraz zawiadomienia osoby, której dane dotyczą.

W marcu 2022 r. operator udzielił odpowiedzi, z której wynikało, że oprócz danych niezbędnych do zawarcia umowy, klient wskazał do kontaktu również numer telefonu oraz adres e-mail. Podczas procesu zawarcia umowy została wygenerowana wiadomość e-mail zawierająca kopię umowy wraz z załącznikami, a następnie została ona wysłana na adres wskazany przez klienta.

Spółka oświadczyła też, że sam klient wrócił do punktu obsługi sprzedaży Play z informacją, iż adres e-mail wskazany w umowie jest błędny i poprosił o jego usunięcie.

"W ocenie spółki nie było podstaw do traktowania przedmiotowego zdarzenia jako naruszenia danych osobowych, dlatego nie zgłosiła ona ww. naruszenia do UODO oraz nie powiadomiła o nim klienta (abonenta)." - czytamy w komunikacie UODO.

UOKiK sprawdza klauzule inflacyjne u Orange, T-Mobile i Play

Po otrzymaniu przez P4 zawiadomienia od UODO o wszczęciu postępowania administracyjnego, w kwietniu 2022 r. spółka przesłała do organu nadzorczego zgłoszenie naruszenia danych osobowych wraz z treścią listownego powiadomienia abonenta o naruszeniu ochrony jego danych osobowych.

Tymczasem jak podkreśla regulator, zgodnie z przepisami Prawa telekomunikacyjnego dostawca publicznie dostępnych usług telekomunikacyjnych zawiadamia UODO o naruszeniu ochrony danych osobowych nie później niż 24 godziny po wykryciu takiego naruszenia. Ponadto w przypadku gdy naruszenie ochrony danych osobowych może mieć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, dostawca publicznie dostępnych usług telekomunikacyjnych niezwłocznie zawiadamia o takim naruszeniu również abonenta lub użytkownika końcowego (powiadomienie to następuje bez zbędnej zwłoki po wykryciu naruszenia ochrony danych osobowych).

UODO zaznacza, że zarówno w  przypadku obowiązku zawiadomienia organu nadzorczego, jak i obowiązku powiadomienia abonenta ważny jest moment wykrycia naruszenia. Tutaj P4 uzyskał dwukrotnie informacje, które by na to pozwoliły: najpierw gdy sam klient zwrócił się do niego z informacją o błędnym adresie e-mail i prośbą o jego usunięcie, a po raz drugi gdy odebrał pismo od UODO wzywające do złożenia wyjaśnień.

W ocenie UODO już uzyskanie pierwszej z ww. informacji było wystarczające do wykrycia naruszenia ochrony danych osobowych. Tymczasem spółka zawiadomiła organ nadzorczy oraz abonenta o naruszeniu dopiero po wszczęciu postępowania administracyjnego w przedmiotowej sprawie i po dokonaniu wglądu w akta sprawy.

"W przedmiotowej sprawie doszło do naruszenia ochrony danych osobowych polegającego na udostępnieniu osobie trzeciej przez spółkę poprzez wiadomość e-mail danych abonenta zawartych w umowie. Ponadto naruszenie to może wywrzeć niekorzystny wpływ na prawa abonenta, w szczególności może skutkować nieuprawnionym posługiwaniem się danymi osobowymi, szkodą majątkową, czy naruszeniem dóbr osobistych. Administrator nie tylko nie zawiadomił UODO o naruszeniu ochrony danych osobowych w terminie wynikającym z przepisów prawa, ale nie spełnił również bez zbędnej zwłoki obowiązku powiadomienia klienta o naruszeniu. To szczególnie ważne, aby umożliwić abonamentowi lub użytkownikowi końcowemu podjęcie niezbędnych działań zapobiegawczych w celu ochrony praw lub wolności przed negatywnymi skutkami naruszenia." - informuje UODO.

Urząd odnotował także, że powyższa sprawa nie jest pierwszą tego typu w dotychczasowej działalności P4, co miało wpływ na wymierzoną karę pieniężną. W czerwcu 2021 r. UODO nałożył na P4 karę w wysokości 100 tys. zł w związku z nieterminowym zgłoszeniem pięciu przypadków naruszeń danych osobowych.

W zeszłym kwartale grupa kapitałowa P4, do której należą Play, UPC Polska i Virgin Mobile, przy wzroście przychodów z 1,83 do 2,42 mld zł osiągnęła 979 mln zł zysku EBITDAaL. Firma miała 16,79 mln klientów usług mobilnych i 1,97 mln korzystających z usług stacjonarnych.