Włochy: kary za naruszenie ochrony danych sygnalistów
Włoski organ nadzorczy wymierzył karę pieniężną w związku z niezabezpieczeniem danych osoby zgłaszającej naruszenie prawa w organizacji. Karę nałożono na szpital i dostawcę systemu IT. Szczegóły w artykule.
System dawał możliwość śledzenia sygnalistów
Naruszenia dotyczy danych przetwarzanych w systemie IT służącym do obsługi zgłoszeń naruszeń prawa. Przetwarzane były w nim dane osobowe tzw. sygnalistów. Dostawcą usług była firma Isweb Srl.
Przeczytaj także: Ochrona sygnalistów – poznaj nowy projekt ustawy
Otóż system sygnalizowania naruszeń pozwalał na śledzenie dostępu do oprogramowania. Połączenia z aplikacją do sygnalizowania naruszeń były rejestrowane i przechowywane dziennikach zapory sieciowej. W konsekwencji możliwe stało się śledzenie użytkowników aplikacji, a zatem także sygnalistów.
Jednocześnie nie poinformowano podmiotów danych, w tym pracowników o takim przetwarzaniu.
Brak odpowiednich zabezpieczeń danych sygnalistów
Podstawowym naruszeniem było niezapewnienie odpowiednich środków technicznych i organizacyjnych. Administrator nie uwzględnił szczególnego ryzyka wynikającego z takiego przetwarzania danych.
Doszło tu w szczególności do uchybienia zasadom ochrony danych w fazie projektowania (privacy by design) oraz domyślnej ochrony danych (privacy by default).
Szpitalowi korzystającemu z tego systemu zarzucono także:
- nieprzeprowadzenie DPIA,
- nieuzupełnienie rejestru czynności przetwarzania danych o czynności dotyczące obsługi zgłoszeń naruszeń,
- ujawnienie danych osobowych nieuprawnionej osobie.
Nieprawidłowości po stronie procesora
Natomiast dostawca systemu IT jako podmiot przetwarzający nie zawarł umowy podpowierzenia danych osobowych z podmiotem świadczącym na jego rzecz usługi hostingowe. W efekcie zarówno administrator, jak i podmiot przetwarzający zostali ukarani karami po 40 tys. euro.
Rady dla ADO
Korzystając z systemu IT od obsługi zgłoszeń naruszeń prawa:
- zawsze dokonaj uprzedniej analizy ryzyka, a w razie konieczności DPIA,
- sprawdź, czy system IT nie generuje niepotrzebnego przetwarzania danych osobowych np. sygnalistów,
- pamiętaj o ochronie danych w fazie projektowania i domyślnej ochronie danych.
- https://edpb.europa.eu/news/national-news/2022/whistle-blowing-without-privacy-italian-sa-fines-hospital-and-it-service_en
- Newsletter UODO (lipiec 2022 r.)
- Pracownik w delegacji – jak wygląda przekazywanie jego danych osobowych do państwa trzeciego
- Mechanizmy dochodzenia roszczeń w związku z wdrożeniem ram ochrony danych UE - USA
- Upoważnienie do przetwarzania danych osobowych czy oświadczenie o poufności
- TSUE: Identyfikator personalizacji reklam zaliczany do danych osobowych według RODO
- Kara za przetwarzanie danych osobowych w rozmowach telefonicznych bez podstawy prawnej
- Zgoda marketingowa – czy także od firmy lub instytucji
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
