P4 (Play) ukarany przez UODO. Poszło o zły adres e-mail

250 tysięcy złotych kary nałożonej przez Urząd Ochrony Danych Osobowych będzie musiała zapłacić spółka P4 sp. z o.o., operator sieci Play. Chodzi o niezawiadomienie organu nadzorczego o naruszeniu danych osobowych w ciągu 24 godzin od chwili wykryci naruszenia. A wszystko zaczęło się od… nieprawidłowego adresu mailowego. 

  • Mikołaj Frączak
  • /
  • 28 listopada 2022

Błędny e-mail i brak reakcji

Urząd Ochrony Danych Osobowych otrzymał na swoją skrzynkę mailową informację od osoby trzeciej, która wskazywała, że stała się właśnie nieuprawnionym odbiorcą zestawu dokumentów związanych z zawarciem umowy telekomunikacyjnej.

Regulator zwrócił się do spółki, by ta wyjaśniła informacje na temat naruszenia danych osobowych. Miało ono polegać na umożliwieniu nieuprawnionej osobie trzeciej wglądu do dokumentów. Po drugie UODO poprosiło spółkę o przedstawienie oceny pod kątem obowiązku zgłoszenia naruszenia do organu nadzorczego i osoby, której dane dotyczą. 

Klient pomylił adres mailowy

Jak relacjonuje Urząd Ochrony Danych Osobowych - spółka udzieliła odpowiedzi, z której wynikało, że oprócz danych niezbędnych do zawarcia umowy, klient wskazał do kontaktu również numer telefonu oraz adres e-mail. Podczas procesu zawarcia umowy została wygenerowana wiadomość e-mail zawierająca kopię umowy wraz z załącznikami, a następnie została ona wysłana na adres wskazany przez klienta”. Na tym jednak sprawa się nie kończy. Okazało się, że sam klient powiadomił niedługo później firmę o tym, że podał błędnego maila i poprosił o jego usunięcie. 

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Spółka przyznała, że można nie realizować wysyłki dokumentów za pośrednictwem poczty elektronicznej, oznaczając specjalne pole w systemie sprzedażowym, czego jednak pracownik administratora nie dokonał – nie odznaczył tego pola i dlatego e-mail z kopiami dokumentów został wysłany”. I właśnie w ten sposób Play sprowadził na siebie problemy. 

Było naruszenie, czy nie?

UODO relacjonuje, że spółka oceniła, że w tym przypadku nie było podstaw do tego, by zdarzenie potraktować jako naruszenie danych osobowych. W związku z tym nie było zgłoszenia tego naruszenia do Urzędu Ochrony Danych Osobowych. Odpowiednia informacja nie trafiła także do klienta. Najwyraźniej jednak UODO jest odmiennego zdania. 

UODO: czas reakcji jest bardzo ważny

Co ciekawe, po otrzymaniu przez firmę zawiadomienia z urzędu o wszczęciu postępowania, zostało przesłane zgłoszenie od spółki (administratora) zgłoszenia naruszenia danych osobowych, wraz z treścią listu, w którym o sprawie został powiadomiony również abonent. 

Tu jednak pojawia się podstawowy problem, z którym właśnie zderzyła się spółka P4. „Zgodnie z przepisami Prawa telekomunikacyjnego dostawca publicznie dostępnych usług telekomunikacyjnych zawiadamia UODO o naruszeniu ochrony danych osobowych nie później niż 24 godziny po wykryciu takiego naruszenia” – informuje UODO.

Pełny opis tej historii wraz z bardzo dokładną wykładnią przepisów dokonanych przez urząd, można przeczytać tutaj. 

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!