Operator telekomunikacyjny ukarany karą 250 tyś. zł za brak powiadomienia o naruszeniu danych osobowych

Prezes Urzędu Ochrony Danych Osobowych nałożył na operatora telekomunikacyjnego P4 (sieć Play) 250 tyś. zł kary pieniężnej w związku z naruszeniem przepisów dotyczących ochrony danych osobowych.

Stan faktyczny

Klient zawarł z operatorem w punkcie sprzedaży umowę o świadczenie usług telekomunikacyjnych wskazując w niej adres e-mail do kontaktu, na który operator wysłał abonentowi pełny zestaw dokumentów związanych z zawarciem umowy (w tym samą umowę) zawierających dane osobowe nowego abonenta (w tym adres, PESEL, nr dowodu, numer telefonu). 

Klient wrócił do punktu sprzedaży operatora zgłaszając, że wskazany przez niego e-mail jest błędny i poprosił o jego usunięcie. Operator odnotował to zgłoszenie i usunął błędny adres abonenta. 

Faktyczny właściciel błędnie wskazanego e-maila (osoba trzecia względem abonenta) otrzymał wyżej wskazany zestaw dokumentów z danymi osobowymi abonenta i zgłosił ten fakt Prezesowi UODO, a ten wszczął postępowanie administracyjne informując operatora o otrzymanym zgłoszeniu. 

stan prawny

Zgodnie z art. 174a ust. 1 prawa telekomunikacyjnego w związku z art. 2 ust. 2 europejskiego rozporządzenia Komisji 611/2013, dostawca publicznie dostępnych usług telekomunikacyjnych zawiadamia Prezesa UODO o naruszeniu danych osobowych nie później niż 24 godziny po wykryciu naruszenia danych osobowych (jeżeli jest to wykonalne) przekazując informacje zakreślone w rozporządzeniu. 

Jak stanowi art. 174a ust. 2 prawa telekomunikacyjnego, przez naruszenie danych osobowych rozumie się przypadkowe lub bezprawne zniszczenie, utratę, zmianę, nieuprawnione ujawnienie lub dostęp do danych osobowych przetwarzanych przez przedsiębiorcę telekomunikacyjnego w związku ze świadczeniem publicznie dostępnych usług telekomunikacyjnych.

Dodatkowo, zgodnie z art. 174a ust. 3 prawa telekomunikacyjnego, w przypadku gdy naruszenie danych osobowych może mieć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, dostawca publicznie dostępnych usług telekomunikacyjnych niezwłocznie zawiadamia o takim naruszeniu również abonenta lub użytkownika końcowego.

decyzja prezesa uodo

Jak wskazano w wydanej decyzji administracyjnej, zdaniem Prezesa UODO operator telekomunikacyjny w niniejszej sprawie nie dokonał żadnego z powyższych zgłoszeń w terminie. 

W ocenie Prezesa UODO uzyskane już od samego abonenta informacje, że wskazany przez niego e-mail był błędny w połączeniu z wiedzą o obowiązującej procedurze wysyłki dokumentów w formie elektronicznej wystarczyło do wykrycia naruszenia danych osobowych. Po otrzymaniu tych informacji od abonenta operator nie dokonał analizy, która doprowadziłaby do wykrycia naruszenia danych osobowych (w ocenie Prezesa UODO do takiej analizy operator był zobowiązany i taka analiza skutkowałaby prawidłowym rezultatem w postaci wykrycia naruszenia).

Prezes UODO ocenił też, że wskazane naruszenie może wywrzeć niekorzystny wpływ na prawa abonenta, w tym może skutkować nieuprawionym posługiwaniem się danymi osobowymi, szkodą majątkową, naruszeniem dóbr osobistych, a ponadto wskazał, że ujawnienie takiej kategorii danych jak PESEL może „realnie i negatywnie wypływać na ochronę praw lub wolności osób fizycznych” podając przykład wyłudzenia kredytu – w związku z czym, operator powinien bez zbędnej zwłoki po wykryciu naruszenia powiadomić także klienta, którego dane dotyczą. 

wnioski i zalecenia dla administratorów

Z omawianej decyzji dla wszystkich administratorów (nie tylko z sektora telekomunikacji) wynikają co najmniej dwa poniższe wnioski-zalecenia, które należałoby uwzględnić w obowiązujących wewnętrznie procedurach (w razie konieczności odpowiednio je aktualizując).

Regulator wskazał, że zasadne byłoby wprowadzenie przez operatora dodatkowych środków technicznych i organizacyjnych zmniejszających lub eliminujących ryzyko naruszenia danych osobowych przy wysyłce dokumentów na błędnie wskazany e-mail poprzez przykładowo zabezpieczenie przesłanego pliku hasłem dostępowym podawanym klientowi innym kanałem komunikacji lub wprowadzenie podwójnej weryfikacji e-maila. 

Z decyzji wynika też, że administratorzy muszą analizować otrzymywane informacje wskazujące na błędy w procedurach, kiedy dochodzi do udostępnienia danych osobowych czy dokumentów (dane takie zawierających), pod kątem możliwości wystąpienia naruszenia ochrony danych osobowych i zgłaszać wykryte naruszenia zgodnie z obowiązującymi przepisami. 

Źródło: decyzja PUODO z dnia 3.11.2022 r. (DKN.5131.18.2022).

Zajmujemy się obsługą podmiotów z sektora telekomunikacji oraz wsparciem prawnym w zakresie prawa ochrony danych osobowych, zapraszamy do kontaktu.