Cyfrowy Polsat SA n’a pas mis en œuvre de mesures techniques et organisationnelles adéquates en coopération avec le transporteur. Cela a provoqué beaucoup de violations qui ont été identifiées avec un long retard. En raison de ces lacunes, le président de l’Autorité de protection des données personnelles a sanctionné la société avec une amende de plus de 1,1 million de PLN.
Absence de correspondance avec les données personnelles ou livraison d’un pack à un mauvais destinataire: ce sont des violations que l’entreprise a fréquemment signalées au Bureau de la protection des données personnelles. En outre, l’analyse de ces violations, effectuée par le Bureau de la protection des données à caractère personnel, a fait ressortir que le responsable du traitement des données a signalé une violation à l’autorité de contrôle, ainsi qu’elle a informé la personne concernée des accidents après deux ou trois mois après l’accident.
Au cours de la procédure, le responsable de la protection des données a signalé ces violations dès qu’il a reçu des informations de la part du messager avec qui il a signé un contrat. Quoi qu’il en soit, de l’avis de l’Office de la protection des données à caractère personnel, le responsable du traitement met en œuvre des mesures efficaces qui, d’une part, réduisent l’entité de ces violations et, d’autre part, permettent une identification plus rapide de ces accidents et les notifient ainsi aux personnes concernées.
En raison de l’absence de mesures techniques et organisationnelles adéquates permettant une identification plus rapide des violations, les personnes concernées n’étaient pas conscientes des risques que leurs données soient utilisées par des personnes non autorisées, par exemple, pour voler leur identité. Au cours de cette période, ils n’ont pu prendre aucune mesure pour limiter ce danger.
En attendant, la portabilité des données personnelles dans la correspondance perdue ou les paquets qui ont été livrés au mauvais destinataire était large. En outre, les livraisons, y compris aussi d’autres données, comme ID contact, le numéro du contrat et le numéro de facture.
Malgré les violations étaient liées à des irrégularités par le courrier, il était le responsable de la protection de données a été sanctionné pour ne pas avoir contrôlé la mise en œuvre des cessions contractuelles, en déterminant l’identification tardive des violations. En outre, il a été possible pour le responsable du traitement d’introduire et d’appliquer de nouvelles solutions qui auraient pu réduire le nombre de violations et il est permis une identification plus rapide.
Toutefois, ce n’est qu’au cours de la procédure que l’entreprise a mis en œuvre des mécanismes qui ont réduit considérablement les cas d’envoi de courrier à une personne non autorisée. Elle a également mis en œuvre des solutions de suivi des expéditions, qui lui ont permis d’identifier et de signaler plus rapidement la correspondance perdue avec des données personnelles. Par conséquent, le processus d’identification des atteintes à la sécurité des données par l’entreprise a été considérablement réduit.
Le Président de l’Office pour la Protection des Données à Caractère Personnel a décidé d’imposer une sanction à l’entreprise pour avoir violé les dispositions du RGPD, car l’application d’autres mesures correctives ne serait pas proportionnée aux irrégularités constatées. En outre, elle ne garantirait pas que le responsable du traitement ne commettra pas d’omissions similaires à l’avenir.
SOURCE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA POLONIA – UODO