Scoring kredytowy dokonywany przez biuro informacji kredytowej to zautomatyzowane przetwarzanie danych osobowych czyli profilowanie. Jako taki scoring podlega regułom RODO i musi być oparty na jednej z podstaw przetwarzania przewidzianych w art. 6 rozporządzenia unijnego. Na takim stanowisku stanął Trybunał Sprawiedliwości Unii Europejskiej w niedawnym wyroku w sprawie SCHUFA Holding AG.
10 mln koron norweskich musi zapłacić norweska sieć siłowni SATS, działająca w całej Skandynawii. Firmie zarzucono niezapewnianie dostępu do danych i brak realizacji żądania usunięcia danych. Inne z naruszeń dotyczyło przetwarzania danych osobowych bez podstawy prawnej.
Ochrona danych osobowych przetwarzanych przez pracownika na prywatnym komputerze w celach służbowych to obowiązek pracodawcy jako administratora danych osobowych. Stanowisko takie przedstawił Wojewódzki Sąd Administracyjny w Warszawie, podtrzymując decyzję Prezesa UODO w sprawie nałożenia na Rzecznika Finansowego kary upomnienia.
Niezgłoszenie naruszenia ochrony danych było przyczyną nałożenia na Link4 administracyjnej kary pieniężnej w wysokości prawie 104 tys. zł. Sprawdzamy, jakie były okoliczności, w związku z którymi Prezes UODO ukarał ubezpieczyciela.
Brak reakcji na żądanie sprostowania danych osobowych może zakończyć się karą UODO. Upomnieniem za niespełnienie tego żądania ukarany został jeden z banków. Problemem było nie tylko niespełnienie żądania, ale też brak informacji na temat jego realizacji.
Brak właściwej reakcji na sprzeciw wobec marketingu bezpośredniego stał się przyczyną ukarania H&M. W związku z naruszeniem ochrony danych firma musi zapłacić równowartość ponad 28 tys. euro. Więcej na temat decyzji szwedzkiego organu nadzorczego w artykule.
Wojewódzki Sąd Administracyjny w Warszawie podtrzymał karę UODO w wysokości 1,6 mln zł w sprawie spółki Virgin Mobile. Dotyczyła ona naruszenia ochrony danych osobowych abonentów na dużą skalę. Karę zapłacić musi jej następca prawny – P4 sp. z o.o.
Chorwacja firma windykacyjna przetwarzała dane osobowe wielu dłużników, a mimo to nie wdrożyła odpowiednich środków bezpieczeństwa. Poza tym przetwarzane były też dane osobowe o zdrowiu – bez podstawy prawnej. Do tego firma nie informowała dłużników o tak szerokim zakresie przetwarzania danych. Liczne naruszenia ochrony danych złożyły się na karę w wysokości ponad 5 mln zł.
Organ antydopingowy, który publikuje w internecie dane osobowe sportowca na dopingu, nie narusza RODO. Publikacja danych osobowych takiego sportowca może mieć bowiem cel prewencyjny. Sprawa ta nie została jeszcze rozstrzygnięta przez Trybunał Sprawiedliwości UE, niemniej jednak wypowiedziała się o niej rzecznik generalna TSUE.
Prezes UODO ukarał upomnieniem spółkę, która ujawniła dane osobowe o zwolnieniu lekarskim pracownika swoim kontrahentom. Są to bowiem dane szczególnej kategorii. Nieuzasadnione było to przetwarzanie przez pracodawcę prywatnego numeru telefonu pracownika w czasie jego nieobecności.
Naczelny Sąd Administracyjny oddalił skargę kasacyjną spółki Bisnode od wyroku WSA w Warszawie. Podtrzymał tym samym stanowisko Urzędu Ochrony Danych Osobowych, według którego w przypadku danych osobowych pozyskiwanych z rejestrów publicznych należy spełnić obowiązek informacyjny RODO. Sprawa dotyczy pierwszej kary UODO wymierzonej w Polsce. Przedstawiamy przebieg całej sprawy.
Szwedzki organ nadzorczy ukarał ubezpieczyciela za doprowadzenie do wycieku danych osobowych około 650 tys. klientów. Wyciek był efektem braków w środkach bezpieczeństwach danych stosowanych przez firmę ubezpieczeniową. Te z kolei wynikały z nieprawidłowości, które zgodnie z regułą privacy by design można było usunąć jeszcze na etapie projektowania systemu informatycznego.
Upomnieniem dla firmy telekomunikacyjnej zakończyło się przetwarzanie danych osobowych byłego klienta w celu ewentualnego dochodzenia roszczeń lub obrony przed roszczeniami. Jak wskazał Prezes UODO okoliczności takie nie uzasadniają przetwarzania danych w realizacji uzasadnionego interesu administratora. Drugim z naruszeń było przetwarzanie danych osobowych po zakończeniu współpracy z klientem w korespondencji – bez zgody tego klienta.
Zgubienie świadectwa pracy lub innego dokumentu z akt osobowych rodzi na tyle wysokie ryzyko naruszenia praw i wolności podmiotów danych, że konieczne jest zgłoszenia naruszenia ochrony danych do Prezesa UODO. Nie ma tu znaczenia późniejsze znalezienie dokumentu (już w trakcie postępowania sądowego) jak i fakt, że ryzyko to się nie zmaterializowało. Stanowisko takie przedstawił Wojewódzki Sąd Administracyjny w Warszawie, oddalając skargę spółki na decyzję Prezesa UODO.
Nieodbieranie wezwań od Prezesa Urzędu Ochrony Danych Osobowych, brak odpowiedzi czy też niewyczerpujące wyjaśnienia – w każdym z tych przypadków administrator danych osobowych musi liczyć się z karą pieniężną. W samym 2023 r. Prezes UODO wymierzył 4 kary za brak współpracy (dwie z nich w czerwcu). Sprawdź, w czym przejawiał się brak współpracy z Prezesem UODO i jakich zachowań unikać, by zminimalizować ryzyko ukarania.
Rozporządzenie 2023/2854, znane jako Akt w sprawie danych (Data Act), wprowadza nowe obowiązki i prawa dla firm przetwarzających dane z produktów skomunikowanych (IoT) i usług powiązanych. Od 12 września przedsiębiorcy w Polsce muszą ustalić, czy są „użytkownikami” lub „posiadaczami danych” w rozumieniu DA oraz jakie konsekwencje ma ten status dla ich relacji z innymi podmiotami i zgodności z RODO.
Otrzymuj raz w tygodniu aktualne informacje o zmianach w prawie oraz komentarze ekspertów
Masz problem związany z ochroną danych osobowych? Napisz do nas i dowiedz się, jak powinieneś postąpić. Nasz ekspert odpowie na wszystkie Twoje pytania.
Zadaj pytanie ekspertowi »Zadawaj pytania na żywo, prowadź dyskusję i rozwiąż swoje problemy związane z ochroną danych osobowych.
Sprawdź kiedy »Nasi eksperci przygotują dokumentację ODO zgodną z Twoimi potrzebami
© Portal Poradyodo.pl
