Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 11 stycznia 2021 r., sygn. DKN.5131.7.2020
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256 ze zm.), art. 7 ust. 1 oraz art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), a także art. 57 ust. 1 lit. a), art. 58 ust. 2 lit. i), art. 83 ust. 1 - 3 i art. 83 ust. 4 lit. a) w związku z art. 33 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), zwanego dalej również "rozporządzeniem 2016/679", po przeprowadzeniu postępowania administracyjnego w sprawie braku zgłoszenia naruszenia ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych, przez ENEA S.A. z siedzibą w Poznaniu przy ul. Góreckiej 1, Prezes Urzędu Ochrony Danych Osobowych,
stwierdzając naruszenie przez ENEA S.A. z siedzibą w Poznaniu przy ul. Góreckiej 1 przepisu art. 33 ust. 1 rozporządzenia 2016/679, polegającego na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, nakłada na ENEA S.A. z siedzibą w Poznaniu przy ul. Góreckiej 1 administracyjną karę pieniężną w wysokości 136 437 PLN (słownie: sto trzydzieści sześć tysięcy czterysta trzydzieści siedem złotych).
Uzasadnienie
Do Urzędu Ochrony Danych Osobowych, zwanego dalej również ,,UODO", dnia [...] czerwca 2020 r. wpłynęła informacja o naruszeniu ochrony danych osobowych pochodząca od osoby, która stała się nieuprawnionym adresatem przedmiotowych danych osobowych. Naruszenie polegało na wysłaniu przez osobę związaną z ENEA S.A. z siedzibą w Poznaniu przy ulicy Góreckiej 1, zwaną dalej również ,,Spółką", do nieuprawnionego adresata wiadomości e-mail z załącznikiem zawierającym dane osobowe adresata oraz dwustu pięćdziesięciu dziewięciu innych osób (klientów Spółki), w wyniku czego doszło do naruszenia poufności danych w zakresie: imion, nazwisk, adresów e-mail, numerów telefonów oraz informacji dotyczących daty rejestracji w [...]. Osoba, która przesłała (korzystając z konta e-mail niebędącego jej kontem służbowym) wiadomość wraz z niewłaściwym, niezaszyfrowanym plikiem zawierającym dane osobowe, była (jak wynika z późniejszych wyjaśnień Spółki) współpracownikiem firmy, z którą współpracuje wykonawca prowadzący dla Spółki badania jakościowe (P. Sp. z o.o.).
Już dziś zamów dostęp
do IFK Platforma Księgowych i Kadrowych
- Codzienne aktualności prawne
- Porady i artykuły z najpopularniejszych czasopism INFOR wraz z bieżącymi wydaniami
- Bogatą bibliotekę materiałów wideo
- Merytoryczne dodatki, ściągi, plakaty
