dodano: 2021-05-19 09:22 | aktualizacja:
2021-05-19 09:38
autor: Anita Kaźmierska |
źródło: UODO
Prosimy o wyłączenie blokowania reklam i odświeżenie strony.
Zgubiona korespondencja z danymi osobowymi lub dostarczenie takiej przesyłki do niewłaściwego odbiorcy – to naruszenia, które
Cyfrowy Polsat miał często zgłaszać do
Urzędu Ochrony Danych Osobowych. Natomiast przeprowadzona przez UODO analiza tych naruszeń wykazała, że administrator zgłaszał naruszenia organowi nadzorczemu, jak i powiadamiał o incydentach osoby, których one dotyczyły, po upływie
2-3 miesięcy od ich wystąpienia.
W toku postępowania okazało się, że
administrator zgłaszał naruszenia, gdy tylko informację o nich otrzymał od firmy kurierskiej, z którą miał podpisaną umowę. Jednak zdaniem UODO to administrator powinien podjąć skuteczne działania, które po pierwsze zminimalizują skalę naruszeń, a po drugie pozwolą na szybsze identyfikowanie takich incydentów i tym samym powiadamianie o nich osób, których dotyczy dane zdarzenie oraz organu nadzorczego.
Jak informuje Urząd, brak wdrożonych odpowiednich środków organizacyjnych i technicznych pozwalających szybko identyfikować naruszenia powodował, że
osoby, których dane dotyczą, przez długi czas nie wiedziały o ryzyku wykorzystania ich danych przez osoby nieuprawnione, np. do tzw. kradzieży ich tożsamości. Nie mogły też przez ten czas podjąć działań, które ograniczyłyby takie niebezpieczeństwo. Tymczasem zakres danych osobowych w zgubionej bądź dostarczonej niewłaściwemu odbiorcy korespondencji był szeroki. Ponadto w przesyłkach były też inne dane, jak ID kontraktu, numer umowy, numery faktur.
Zdaniem UODO,
pomimo że naruszenia związanie były z nieprawidłowościami po stronie firmy kurierskiej, to właśnie ukarany administrator danych nieprawidłowo realizował nadzór nad egzekwowaniem postanowień umownych, przez co dochodziło do późnej identyfikacji naruszeń. Ponadto było możliwe wprowadzenie i egzekwowanie przez administratora nowych rozwiązań, które zarówno ograniczyłyby liczbę naruszeń, jak i umożliwiły szybsze ich identyfikowanie, czytamy w komunikacie.
- Jednak dopiero w toku postępowania spółka wdrożyła mechanizmy, które pozwoliły znacznie ograniczyć przypadki wydawania korespondencji nieuprawnionej osobie. Wdrożyła też rozwiązania pozwalające śledzić przesyłki, co umożliwiło szybsze identyfikowanie i zgłaszanie utraty korespondencji z danymi osobowymi. Dzięki temu proces identyfikacji naruszeń ochrony danych przez spółkę uległ znacznemu skróceniu. Szybsze identyfikowanie naruszeń, a co za tym idzie zawiadamianie osób, których dane dotyczą, o naruszeniu ich danych osobowych, umożliwia tym osobom podjęcie odpowiednich działań mających na celu zminimalizowanie negatywnych skutków tych naruszeń - informuje Urząd Ochrony Danych Osobowych.
Prezes UODO zdecydował się nałożyć na spółkę karę za naruszenia przepisów RODO, gdyż jego zdaniem zastosowanie innych środków naprawczych nie byłoby proporcjonalne do stwierdzonych nieprawidłowości. -
Nie gwarantowałoby również tego, że administrator ten w przyszłości nie dopuści się podobnych zaniedbań - czytamy w komunikacie.
Materiał chroniony prawem
autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy.