Le président de l’UODO a imposé une amende administrative de plus de 136 000 PLN à la société ENEA S.A. pour avoir omis de notifier une violation de données personnelles.

L’Office de protection des données personnelles (UODO) a reçu des informations sur la violation des données personnelles d’une personne qui est devenue un destinataire non autorisé de données personnelles. La violation a impliqué l’envoi d’un courriel avec une pièce jointe non cryptée et non protégée par un mot de passe, contenant des données personnelles de plusieurs centaines de personnes. L’expéditeur du courriel était un collègue de la société condamnée à une amende.

L’UODO a demandé à la société de clarifier les circonstances de l’événement et de fournir l’analyse de l’incident ainsi que son évaluation, afin de déterminer si, dans la situation qui s’est produite, il était nécessaire de notifier la violation à l’autorité de contrôle et aux personnes concernées.

L’entité sanctionnée a indiqué que l’évaluation du risque de violation des droits et libertés des personnes physiques a été effectuée, sur la base de laquelle la société a conclu qu’il n’y avait pas eu de violation entraînant la nécessité de notifier l’UODO. En outre, la société a estimé qu’en raison des mesures prises rapidement, telles que la déclaration du destinataire non autorisé selon laquelle il avait définitivement détruit la pièce jointe qu’il n’était pas autorisé à recevoir, la possibilité d’effets négatifs de cet événement pour les personnes concernées à l’avenir a été éliminée.

En raison de l’absence de notification de la violation des données, l’autorité de contrôle a engagé une procédure administrative contre la société qui, au cours de la procédure, a maintenu ses positions antérieures présentées dans la correspondance avec l’Office depuis juin 2020 et a continué à ne pas notifier la violation à l’autorité de contrôle.

Dans le cas en question, un courriel a été envoyé à un destinataire non autorisé avec une pièce jointe sous la forme d’un fichier non crypté contenant des données à caractère personnel du destinataire du courriel et d’autres personnes. Cela signifie qu’il y a eu une violation de la sécurité conduisant à la divulgation accidentelle de données à caractère personnel à une personne non autorisée à recevoir ces données, et donc à la violation de la confidentialité des données de ces personnes, ce qui détermine qu’il y a eu violation des données à caractère personnel.

Jusqu’au jour de la publication de la présente décision, la société n’a pas respecté l’obligation prévue à l’article 33 de la GDPR. Pour déterminer le montant de l’amende administrative, l’Office a également pris en compte les circonstances atténuantes affectant le montant final de l’amende, c’est-à-dire les mesures prises par le responsable du traitement afin d’atténuer les dommages subis par les personnes concernées.

L’UODO rappelle que, conformément à l’article 33, paragraphes 1 et 3, du GDPR, en cas de violation de données à caractère personnel, le responsable du traitement doit, sans retard injustifié et, si possible, au plus tard 72 heures après en avoir eu connaissance, notifier la violation de données à caractère personnel à l’autorité de contrôle, à moins que la violation de données à caractère personnel ne soit pas susceptible d’entraîner un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n’est pas effectuée dans les 72 heures, elle est accompagnée d’une justification du retard.

SOURCE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA POLONIA – UODO