Pracownik jednej z firm gastronomicznych zgubił pendrive, na którym znajdowały się niezaszyfrowane dane osobowe innego pracownika. W ocenie Prezesa UODO zagrożenie wiążące się z naruszeniem można było zminimalizować. Zabrakło jednak odpowiedniej analizy ryzyka i wdrożenia adekwatnych środków bezpieczeństwa, a mianowicie szyfrowania danych. Więcej o najnowszej karze UODO dowiesz się z artykułu.
Stowarzyszenia nie są zwolnione z obowiązku zgłaszania naruszenia ochrony danych do Prezesa UODO. Przekonało się o tym jedno ze stowarzyszeń organizujących zawody sportowe. W wyniku działań wolontariusza ujawnione zostały dane osobowe uczestników tych zawodów. Organizator nie zawiadomił o tym organu nadzorczego, co skończyło się karą UODO.
Co oczywiste, najlepiej uczyć się na cudzych błędach. Warto zatem sięgnąć do orzecznictwa Prezesa Urzędu Ochrony Danych Osobowych ale też zagranicznych organów nadzorczych i wyciągnąć wnioski z naruszeń ukaranych administratorów. Przedstawiamy w związku z tym przegląd wybranych orzeczeń zagranicznych organów nadzorczych z 2023 i 2024 r.
Do przetwarzania danych osobowych konsumenta dochodzi już podczas rozmowy telefonicznej z nim. Przetwarzanie takie musi być oparte na jednej z podstaw z art. 6 RODO. Brak podstawy prawnej to prosta droga do kary pieniężnej, o czym przekonał się francuski sklep internetowy.
Zgoda na przetwarzanie danych osobowych o zdrowiu musi być wyraźna. Co za tym idzie, należy ją udokumentować. Stanowisko takie przedstawił Wojewódzki Sąd Administracyjny w Warszawie, rozpatrując skargę wspólników spółki zajmującej się odszkodowaniami na decyzję Prezesa UODO.
Kolejny bank z karą UODO za niezgłoszenie naruszenia ochrony danych. Tym razem administracyjną karę pieniężną w wysokości 78 tys. zł wymierzono Toyota Bank Polska S.A. Bank wprawdzie zgłosił naruszenie, ale ze znacznym opóźnieniem.
Brak zgłoszenia naruszenia ochrony danych był przyczyną nałożenia wysokiej kary pieniężnej przez Prezesa UODO na Santander Bank Polska S.A. Kara jest konsekwencją niezgłoszenia naruszenia ochrony danych polegającego na kradzieży przesyłki zawieranej dane osobowe. Decyzja UODO jest oczywiście nieprawomocna.
Nie wystarczy samo usunięcie danych osobowych na żądanie. Administrator musi także poinformować podmiot danych o tym usunięciu. Brak takiej informacji sam w sobie stanowi naruszenie RODO i może skutkować administracyjną karą pieniężną, o czym przekonały się popularne węgierskie linie lotnicze. Sprawa ma także polski wątek.
Przetwarzanie danych osobowych dłużnika i innych informacji objętych tajemnicą bankową przez bank przez okres 5 lat po wygaśnięciu zobowiązania jest możliwe, o ile bank spełnił wobec klienta dodatkowy obowiązek informacyjny (art. 105a ust. 3 Prawa bankowego). Naczelny Sąd Administracyjny w niedawnym wyroku przedstawił praktyczne aspekty dotyczące realizacji tego obowiązku.
Gdy administrator danych osobowych zleca obsługę strony BIP, wówczas musi zawrzeć umowę powierzenia przetwarzania danych. Dotyczy to również podmiotu z sektora publicznego, czego dowodzi niedawny wyrok Naczelnego Sądu Administracyjnego wydany w sprawie Burmistrza Miasta Aleksandrowa Kujawskiego.
Administrator danych osobowych może otrzymać kare pieniężną jedynie za zawinione naruszenie ochrony danych. Wniosek taki płynie z najnowszych orzeczeń Trybunału Sprawiedliwości Unii Europejskiej.
Węgierskie linie lotnicze ukarane zostały karą nagany za spóźnione usunięcie danych osobowych na żądanie. Realizacja żądania usunięcia danych powinna bowiem nastąpić bez zbędnej zwłoki. Przedłużenie tego terminu może nastąpić jedynie w określonych przypadkach
Po ponownej analizie Prezes UODO ustalił nowy wymiar administracyjnej kary pieniężnej dla Morele.net. Na spółkę nałożona została kara w wysokości 3,8 mln zł. Sprawa, która ciągnie się od 2018 r. dotyczy bardzo dużego wycieku danych klientów spółki. W ocenie organu nadzorczego jest to konsekwencja nieprawidłowości dotyczących środków bezpieczeństwa danych. Poznaj motywy decyzji Prezesa UODO.
Udostępnienie informacji publicznej bez anonimizacji danych osobowych jest naruszeniem ochrony danych, które w określonych przypadkach powinno być zgłoszone Prezesowi UODO jak i podmiotom danych. Wnioski takie można wysnuć z decyzji Prezesa UODO, który nałożył na Prokuraturę Rejonową w Gorlicach karę pieniężną w wysokości 20 tys. zł. Kara została właśnie podtrzymana w wyroku Wojewódzkiego Sadu Administracyjnego w Warszawie.
Prezes Urzędu Ochrony Danych Osobowych ukarał upomnieniem Ministra Edukacji i Nauki oraz Ministra Zdrowia za przetwarzanie danych osobowych szczególnej kategorii bez podstawy prawnej. Co więcej, dane te zostały przekazane pomiędzy ministrami mimo braku umowy powierzenia przetwarzania danych osobowych.
Atak ransomware nie tylko potrafi sparaliżować działalność organizacji, ale też narazić ją na poważne konsekwencje prawne związane z ochroną danych osobowych. Choć temat wydaje się domeną działów informatycznych, skutki tych ataków dotykają wszystkich — w tym inspektorów ochrony danych oraz zarząd firmy, którzy w obliczu cyberzagrożeń stają się pierwszą linią odpowiedzialności za właściwą reakcję i ograniczenie szkód. W tym artykule przedstawimy, czym jest ransomware, jak działa, na czym polega ochrona organizacji przed atakami ransomware i jaką rolę pełni IOD (Inspektor Ochrony Danych) w sytuacjach kryzysowych.
Otrzymuj raz w tygodniu aktualne informacje o zmianach w prawie oraz komentarze ekspertów
Masz problem związany z ochroną danych osobowych? Napisz do nas i dowiedz się, jak powinieneś postąpić. Nasz ekspert odpowie na wszystkie Twoje pytania.
Zadaj pytanie ekspertowi »Zadawaj pytania na żywo, prowadź dyskusję i rozwiąż swoje problemy związane z ochroną danych osobowych.
Sprawdź kiedy »Nasi eksperci przygotują dokumentację ODO zgodną z Twoimi potrzebami
© Portal Poradyodo.pl
