Informacja o naruszeniu wpłynęła do Urzędu Ochrony Danych Osobowych (UODO) od osoby, która mimowolnie stała się nieuprawnionym adresatem danych osobowych. Nadawcą maila był współpracownik spółki ENEA.
UODO zwróciło się do spółki o wyjaśnienie okoliczności zdarzenia, przedstawienie analizy incydentu i ocenę, czy nie ma potrzeby zawiadomienia o naruszeniu zarówno organu nadzorczego, jak i osób, których ono dotyczyło.
Spółka odpowiedziała, że po analizie ryzyka naruszenia praw i wolności osób fizycznych uznała, że nie było konieczności zawiadomienia UODO. ENEA zapewniła, że zareagowała szybko i zdobyła oświadczenie nieuprawnionego adresata, że w sposób trwały zniszczył załącznik, do którego otrzymania nie był upoważniony. Dzięki temu wyeliminowano negatywne skutki incydentu w przyszłości.
Jednak UODO wszczął wobec spółki postępowanie administracyjne z powodu niezgłoszenia naruszenia. W trakcie postępowania spółka podtrzymała swoje stanowisko przedstawione w korespondencji prowadzonej z Urzędem od czerwca 2020 roku i nadal nie zgłosiła naruszenia organowi nadzorczemu. Obowiązku wynikającego z art. 33 RODO nie wykonała do dnia wydania decyzji o ukaraniu. Zgodnie z tym przepisem, po stwierdzeniu naruszenia administrator danych bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
- Nieuprawnionemu odbiorcy wysłano wiadomość e-mail wraz z załącznikiem w postaci niezaszyfrowanego pliku zawierającego dane osobowe adresata wiadomości i innych osób. Oznacza to, że doszło do naruszenia bezpieczeństwa prowadzącego do przypadkowego ujawnienia danych osobowych osobie nieuprawnionej do otrzymania tych danych, a więc do naruszenia poufności danych tych osób, co przesądza, że wystąpiło naruszenie ochrony danych osobowych - podkreśla PUODO.
