Polský úřad pro ochranu údajů uložil společnosti Enea pokutu skoro 800 000 korun za neohlášení porušení zabezpečení osobních údajů
30. 3. 2021
Polský úřad pro ochranu údajů (dále jen UODO) oznámil dne 4. března 2021 své rozhodnutí pokutovat polskou energetickou společnost Enea S. A. částkou 136 000 zlotých (necelých 800 000 korun) za neoznámení incidentu, při němž došlo k porušení zabezpečení osobních údajů.
UODO se o porušení zabezpečení dozvěděl od osoby, která se stala neoprávněným příjemcem těchto údajů. Zmíněná osoba obdržela od spolupracovníka společnosti Enea e-mail s nezašifrovanou a nezaheslovanou přílohou obsahující osobní údaje několika stovek lidí. Tím pochopitelně došlo k narušení důvěrnosti.
UODO tedy následně požádal společnost Enea, aby objasnila okolnosti incidentu, poskytla jeho analýzu a posoudila, zda nebylo nutné událost oznámit dozorovému orgánu a dotčeným osobám.
V reakci na tuto výzvu Enea uvedla, že provedla posouzení týkající se rizika porušení práv a svobod fyzických osob a zhodnotila, že porušení nebylo natolik závažné, aby bylo nutné o něm UODO informovat. Navíc se domnívala, že díky okamžitým opatřením je možnost nepříznivých dopadů na osoby dotčené incidentem vyloučena. Mezi uvedená opatření patří například prohlášení adresáta, že přílohu, již nebyl oprávněn přijmout, trvale zničil.
V našem článku Jak se zachovat při porušení zabezpečení osobních údajů? najdete správný postup doplněný o přehlednou infografiku.
UODO je toho názoru, že porušení ochrany údajů mu mělo být oznámeno, a tak proti společnosti zahájil správní řízení. Enea v průběhu řízení zachovala své předchozí postoje uváděné v korespondenci s UODO od června 2020 a porušení ani po zahájení řízení neoznámila.
„V daném případě byl e-mail zaslán neoprávněnému příjemci spolu s přílohou v podobě nezašifrovaného souboru obsahujícího osobní údaje adresáta e-mailu a dalších osob. To znamená, že došlo k porušení zabezpečení, které vedlo k nechtěnému zpřístupnění osobních údajů osobě neoprávněné tyto údaje obdržet, a tím k porušení důvěrnosti údajů těchto osob, což znamená, že došlo k úniku osobních údajů,“ vysvětluje své rozhodnutí UODO.
Do dne vydání tohoto rozhodnutí společnost nesplnila povinnost podle článku 33 GDPR. Při určování výše správní pokuty UODO zohlednil také polehčující okolnosti ovlivňující konečnou výši pokuty, tj. opatření přijatá správcem za účelem zmírnění škod způsobených subjektům údajů.
UODO připomíná, že podle čl. 33 odst. 1 a 3 GDPR v případě porušení zabezpečení osobních údajů správce musí bez zbytečného odkladu a pokud možno nejpozději do 72 hodin poté, co se o porušení dozvěděl, oznámit událost dozorovému orgánu, kromě případů, kdy je nepravděpodobné, že by porušení ochrany osobních údajů vedlo k ohrožení práv a svobod fyzických osob. Není-li oznámení orgánu dozoru učiněno do 72 hodin, musí být doplněno důvodem zpoždění.
Posuzování okolností porušení zabezpečení osobních údajů se neustále vyvíjí a názory dozorových úřadů bohužel zatím nejsou zcela ustálené. Případ Enea vs. UODO je tedy důležitý zejména proto, že se z něho do budoucna mohou o vhodném postupu poučit další společnosti i úřady.
„Spornou je nicméně otázka, zda v daném případě dotčeným osobám skutečně hrozila nějaká rizika, a zda tedy byly splněny podmínky pro povinné hlášení incidentu úřadu,“ říká k tomu Jakub Hruška z Privatry.
Tisková zpráva je k dispozici v angličtině, plné znění rozhodnutí UODO pouze v polštině.
Mohlo by vás také zajímat:
Úřad pro ochranu osobních údajů připravil novou pomůcku pro správce údajů
Varšavská univerzita dostala pokutu kvůli úniku osobních údajů
