Pytanie: Zwracamy się z uprzejmą prośbą o opinię w sprawie incydentu, kiedy to decyzja administracyjna w sprawie podatku od nieruchomości, adresowana do Pani Jagody X, została omyłkowo doręczona syndykowi Pani Ilony X. Obie osoby mają to samo nazwisko, co najprawdopodobniej wpłynęło na błędne przekierowanie przesyłki przez operatora pocztowego. Pismo zawierało dane osobowe oraz informacje objęte tajemnicą skarbową. Dokument przez dwa miesiące znajdował się w placówce pocztowej, a ostatecznie trafił do syndyka. Zdarzenie to można uznać za naruszenie ochrony danych osobowych, a także ujawnienie tajemnicy skarbowej. Czy zgłoszenie tego naruszenia do PUODO było zasadne? Czy należy dodatkowo powiadomić inne instytucje (np. KAS)? Jakie dodatkowe środki organizacyjne należy wdrożyć w przyszłości? Czy należy pociągnąć operatora pocztowego do odpowiedzialności cywilnoprawnej?
Pytanie: Czy istnieją praktyczne wskazówki, jak zorganizować postępowanie w sytuacji naruszeń w organizacji, w której działa IOD? Według poradnika IOD powinien być o naruszeniu niezwłocznie informowany, aby umożliwić mu monitorowanie procesu jego obsługi od najwcześniejszego etapu. Ale czy może te zgłoszenia przyjmować? Z pewnością ustaleniem zaistnienia naruszenia oraz postępowaniem wyjaśniającym powinien zająć się zespół ds. naruszeń, w którego skład wchodziłby m.in. IOD. Z drugiej strony wyznaczenie jednej osoby przyjmującej zgłoszenia byłoby praktyczniejsze i szybsze niż powiadamianie każdego członka zespołu.
Informacja o stanie zdrowia pracownika wynikająca ze zwolnienia lekarskiego stanowi daną osobową szczególnej kategorii. Jako taka nie może być ujawniona przez pracodawcę pozostałym pracownikom zakładu pracy. Praktyka taka prowadzi bowiem do naruszenia ochrony danych osobowych i może skończyć się administracyjną karą pieniężnych wymierzoną przez Prezesa UODO.
Bardzo wiele naruszeń ochrony danych osobowych jest sprokurowanych przez pracowników lub pozostały personel administratora. Błąd pracownika nie zwalnia jednak z odpowiedzialności w tym kar za naruszenie RODO nakładanych przez organ nadzorczy. Dlatego w pierwszej kolejności pracodawca powinien podjąć odpowiednie działania, mające na celu przygotowanie swojej załogi na ewentualne naruszenia ochrony danych.
Umowa powierzenia przetwarzania danych powinna zawierać postanowienia, które zapewnią wsparcie podmiotu przetwarzającego dla administratora danych osobowych w dokonywaniu zgłoszenia naruszenia ochrony danych. Nie oznacza to jednak, że administrator może przerzucić na procesora odpowiedzialność za naruszenie ochrony danych.
25 grudnia 2024 r. w życie wejdą kolejne przepisy ustawy o ochronie sygnalistów. W przepisach tych przewidziano dodatkowe obowiązki dla organów publicznych. Jednym z nich jest m.in. wprowadzenie procedury zgłoszeń zewnętrznych. Czy taką procedurę musi wprowadzić np. urząd gminy czy starostwo powiatowe? Odpowiedź w artykule.
Klęski żywiołowe takie jak niedawna powódź i inne zdarzenia losowe typu pożary zawalenia budynków, mogą uszkodzić zarówno same nośniki danych osobowych jak i infrastrukturę służącą do przetwarzania tych danych. To oczywiście rodzi ryzyko wycieku danych osobowych lub ich utraty. Ogólne rozporządzenie o ochronie danych nie przewiduje w takich okolicznościach żadnych zwolnień. Jak zatem spełnić wymogi RODO w przypadku utraty danych osobowych w wyniku zdarzenia losowego lub innej klęski żywiołowej?
Stany Zjednoczone mają status państwa trzeciego w rozumieniu RODO w związku z czym transfer danych osobowych do tego kraju zasadniczo musi być oparty na decyzji Komisji Europejskiej stwierdzającej zapewnienie odpowiedniego stopnia ochrony danych osobowych przez niektóre organizacje w USA. W związku z tym amerykańskie władze przyjęły mechanizm dochodzenia roszczeń w związku z ewentualnymi naruszeniami ochrony danych, które miały miejsce w USA. Sprawdź, jak w oparciu o ten mechanizm dochodzić roszczeń z tytułu naruszenia ochrony w USA i co to oznacza dla administratora danych osobowych.
Osoba, która dokona zgłoszenia naruszenia prawa w organizacji m.in. w zakresie ochrony danych osobowych lub cyberbezpieczeństwa staje się sygnalistą. Status ten może uzyskać nie tylko pracownik. Wyjaśniamy, kto może zostać sygnalistą w organizacji w związku ze zgłoszeniem lub ujawnieniem publicznym informacji na temat naruszenia prawa.
Zgromadzone dokumenty w podajniku drukarki, wnioski klientów zawierające dane osobowe porzucone na biurku czy lista płac pracowników leżąca obok - takie przypadki to gotowa recepta na utratę lub wyciek danych osobowych. Jak tego uniknąć? Praktycznym rozwiązaniem jest stosowanie zasady czystego biurka, która pomoże zapewnić adekwatny poziom bezpieczeństwa danych osobowych w papierowej dokumentacji. W tym pomóc może dokument nazywany polityką czystego biurka.
Atak ransomware nie tylko potrafi sparaliżować działalność organizacji, ale też narazić ją na poważne konsekwencje prawne związane z ochroną danych osobowych. Choć temat wydaje się domeną działów informatycznych, skutki tych ataków dotykają wszystkich — w tym inspektorów ochrony danych oraz zarząd firmy, którzy w obliczu cyberzagrożeń stają się pierwszą linią odpowiedzialności za właściwą reakcję i ograniczenie szkód. W tym artykule przedstawimy, czym jest ransomware, jak działa, na czym polega ochrona organizacji przed atakami ransomware i jaką rolę pełni IOD (Inspektor Ochrony Danych) w sytuacjach kryzysowych.
04.03.2025
Otrzymuj raz w tygodniu aktualne informacje o zmianach w prawie oraz komentarze ekspertów
© Portal Poradyodo.pl
