Brak powiadomienia organu nadzorczego o naruszeniu ochrony danych osobowych może skutkować nałożeniem kary.
W marcu Prezes Urzędu Ochrony Danych Osobowych (PUODO) poinformował o nałożeniu na spółkę ENEA S.A. kary administracyjnej w wysokości 136 tyś. zł.
Naruszenie ochrony danych osobowych polegało na wysłaniu e-maila z załącznikiem zawierającym dane osobowe kilkuset osób do nieuprawnionego adresata. Załącznik nie był zabezpieczony. Nadawcą był współpracownik ukaranej spółki. Spółka nie poinformowała o tym incydencie organu nadzorczego.
Warto przypomnieć, że zgodnie z art. 33 ust. 1 i 3 RODO w przypadku naruszenia ochrony danych osobowych, administrator danych bez zbędnej zwłoki (nie poźniej niż w terminie 72 godzin, po stwierdzeniu naruszenia) zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
Dlatego bardzo ważne jest aby każdy administrator w swojej dokumentacji związanej z ochroną danych osobowych miał prawidłowo opracowane i wdrożone procedury dla wszystkich procesów przetwarzania danych osobowych. Odpowiednie środki techniczne i organizacyjne oraz prawidłowo wdrożone procedury, w tym – odpowiednio przygotowana procedura analizy występujących incydentów bezpieczeństwa.
Zadbaj o bezpieczeństwo swojej firmy i przetwarzanych w niej danych osobowych.
Pełna treść decyzji jest dostępna pod linkiem: https://www.uodo.gov.pl/decyzje/DKN.5131.7.2020
Źródło: https://uodo.gov.pl/pl/138/1944