Zgubiona korespondencja z danymi osobowymi lub dostarczenie takiej przesyłki do niewłaściwego odbiorcy – to naruszenia, które Cyfrowy Polsat S.A. często zgłaszał do Urzędu Ochrony Danych Osobowych. Przeprowadzona przez UODO analiza tych naruszeń wykazała, że administrator zgłaszał incydenty z dużym opóźnieniem - dwóch, a nawet trzech miesięcy od ich wystąpienia. Późno powiadamiał także o nich osoby, których one dotyczyły.
Okazało się, że zgłoszenia od Cyfrowego Polsatu S.A. były opóźnione, gdyż spółka ta sama także otrzymywała z opóźnieniem informacje o naruszeniach od firmy kurierskiej, z którą miała podpisaną umowę. To jej jednak nie tłumaczy. UODO stoi na stanowisku, że to administrator danych powinien podjąć skuteczne działania, które po pierwsze zminimalizują skalę naruszeń, a po drugie pozwolą na szybsze identyfikowanie takich incydentów i tym samym powiadamianie o nich osób, których dotyczy dane zdarzenie oraz organu nadzorczego.
Urząd Ochrony Danych Osobowych stwierdził brak wdrożonych odpowiednich środków organizacyjnych i technicznych pozwalających szybko identyfikować naruszenia powodował, że osoby, których dane dotyczą, przez długi czas nie wiedziały o ryzyku wykorzystania ich danych przez osoby nieuprawnione, np. do tzw. kradzieży ich tożsamości. Nie mogły też przez ten czas podjąć działań, które ograniczyłyby takie niebezpieczeństwo. Tymczasem zakres danych osobowych w zgubionej bądź dostarczonej niewłaściwemu odbiorcy korespondencji był szeroki. Ponadto w przesyłkach były też inne dane, jak ID kontraktu, numer umowy, numery faktur.
- Pomimo że naruszenia związanie były z nieprawidłowościami po stronie firmy kurierskiej, to właśnie ukarany administrator danych nieprawidłowo realizował nadzór nad egzekwowaniem postanowień umownych, przez co dochodziło do późnej identyfikacji naruszeń. Ponadto było możliwe wprowadzenie i egzekwowanie przez administratora nowych rozwiązań, które zarówno ograniczyłyby liczbę naruszeń, jak i umożliwiły szybsze ich identyfikowanie - twierdzi UODO.
Dopiero w toku postępowania spółka wdrożyła mechanizmy, które doprowadziły do znacznego ograniczenia przypadków wydawania korespondencji nieuprawnionej osobie. Wprowadziła też system śledzenia przesyłki, co umożliwiło szybsze identyfikowanie i zgłaszanie utraty korespondencji. Dzięki temu proces identyfikacji naruszeń ochrony danych przez spółkę znacznie się skrócił.
