"Naruszenie polegało na wysłaniu e-maila z niezaszyfrowanym, niezabezpieczonym hasłem załącznikiem zawierającym dane osobowe kilkuset osób. Nadawcą maila był współpracownik ukaranego przedsiębiorstwa" - informuje Polska Agencja Prasowa.
Urząd Ochrony Danych Osobowych otrzymał informację o zdarzeniu od osoby, która stała się nieuprawnionym adresatem danych osobowych.
W następnym kroku UODO zwróciło się do spółki o wyjaśnienie sytuacji i przedstawienie analizy incydentu wraz z jego oceną.
Przedstawiciele Enei uznali jednak, że ze względu na szybko podjęte działania, jak również oświadczenie nieuprawnionego adresata, że w sposób trwały zniszczył załącznik, sytuacja została zażegnana.
Podejmując decyzję o ukaraniu spółki, Urząd uwzględnił okoliczności łagodzące. UODO uznało bowiem, że wpływ na ostateczny wymiar kary powinny mieć działania Enei w celu zminimalizowania szkody poniesionej przez osoby, do których należały dane.
Przedstawiciele Urzędu przypomnieli przy okazji, że w myśl przepisów, w przypadku naruszenia ochrony danych osobowych, administrator danych bez zbędnej zwłoki powinien zgłosić je organowi nadzorczemu.