naruszenie ochrony danych

b2f4f8dbefdfd27308151350980a3dd004347120-xlarge

Kara za naruszenie ochrony danych dla norweskiej sieci siłowni

10 mln koron norweskich musi zapłacić norweska sieć siłowni SATS, działająca w całej Skandynawii. Firmie zarzucono niezapewnianie dostępu do danych i brak realizacji żądania usunięcia danych. Inne z naruszeń dotyczyło przetwarzania danych osobowych bez podstawy prawnej.

5b10a31033c46d48f9e64282fc0ac9cb9aeb974d-xlarge (3)

Dokumentacja naruszeń ochrony danych osobowych w praktyce

Każde naruszenie ochrony danych, nawet takie, które nie wymaga zgłoszenia, musi być odpowiednio udokumentowane. W praktyce najczęściej stosuje się rejestry naruszeń i raporty z naruszeń, niemniej jednak nie są to jedyne dopuszczalne rozwiązania. Administrator musi postępować zgodnie z regułą rozliczalności, a zatem być gotowy do wykazania, że udokumentował naruszenie i podjął w związku z nim adekwatne działania. Sprawdź, jaką dokumentację ochrony danych prowadzić w związku z naruszeniami.

RODO nakazuje udokumentować każde naruszenie ochrony danych osobowych

W RODO przewidziano obowiązek dokumentowania wszystkich naruszeń ochrony danych osobowych. Udokumentowane musi być każde naruszenie, w tym jego okoliczności, skutki i podjęte działania zaradcze. Nie ma tu znaczenia, jaki poziom ryzyka dla praw i wolności osób fizycznych to naruszenie wygenerowało. Obowiązek udokumentowania dotyczy nawet takich naruszeń ochrony danych, które nie wymagają zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych i zawiadamiania podmiotów danych. Przypomnijmy, że zgłoszenie naruszenia ochrony danych do Prezesa UODO dotyczy wyłącznie takich zdarzeń, które skutkują naruszeniem praw lub wolności podmiotów danych. Zgłoszenie naruszenia nie jest konieczne, w przypadku gdy jest mało prawdopodobne, by dane zdarzenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Wybór metody dokumentowania należy do administratora danych osobowych

RODO nie reguluje jednak sposobów dokumentowania naruszeń ochrony danych. Wybór rozwiązań należy tu do administratora. Dlatego przedstawione w artykule rozwiązania to propozycja. Równie dobrze administrator może przyjąć inny sposób dokumentowania naruszeń. Ważne jest jednak przygotowanie rzetelnej dokumentacji, która posłuży też do szczegółowej analizy incydentu. Zgodnie z RODO to na administratorze danych osobowych spoczywa obowiązek prowadzenia dokumentacji w sposób umożliwiający ewentualną weryfikację przez organ nadzorczy.

Korzyści 

W artykule m.in. o:

  • procedurze reagowania na naruszenia ochrony danych,

  • treści raportu z naruszenia

  • rejestrze naruszeń i tym, co może zawierać,

  • formach dokumentowania naruszeń.

Karta oceny incydentu pod kątem wystąpienia naruszenia ochrony danych osobowych w organizacji

Sprawdź, jak przygotować dokument, który ma na celu zweryfikować, jaki charakter miał incydent, który miał miejsce w organizacji, jaki miała wpływ na bezpieczeństwo przetwarzania danych osobowych oraz podmioty danych.

Firma windykacyjna z karą za naruszenie ochrony danych

Chorwacki organ nadzorczy wymierzył karę 2,26 mln euro firmie windykacyjnej, która od dnia wejścia w życie RODO nie spełniła wielu obowiązków. Naruszenie ochrony danych dotyczyło m.in. wskazania błędnej podstawy przetwarzania, niezawarcia umowy powierzenia, jak i braku odpowiedniego zabezpieczenia danych,

9f62593567a0df58dae30a29ae617694c7d91d62-xlarge (1)

Nieprawidłowości w toku spisu powszechnego w Portugalii

4,3 mln euro kary wymierzył portugalski organ nadzorczy tamtejszemu instytutowi statystycznemu. Było to wynikiem stwierdzenia licznych nieprawidłowości w trakcie spisu powszechnego. Szczegóły w artykule.

9d4af573c5f6911d7802b19e9410cf95d438123c-xlarge (3)

Wyciek identyfikacyjnych danych osobowych pacjentów – czy zgłaszać naruszenie

Pytanie:  Pracownik placówki medycznej wysłał e-maila z danymi osobowymi pacjentów omyłkowo do nieuprawnionej osoby. Były tam wyłącznie dane identyfikacyjne, bez informacji o stanie zdrowia. Czy wobec tego należy zgłosić naruszenie ochrony danych do Prezesa UODO?
b662291422b202e4877c2edefa43a6ad99efac57-xlarge (3)

Zgubienie dokumentacji medycznej pacjenta – czy konieczne zawiadomienie

Pytanie:  W placówce medycznej doszło do zagubienia części dokumentacji medycznej pacjenta. Czy o takiej sytuacji zawiadomić także pacjenta czy też ograniczyć się jedynie do zgłoszenia naruszenia do Prezesa UODO
87db0216482722ef6adfadffd7854ee1465dc127-xlarge (6)

Druga kara UODO dla firmy telekomunikacyjnej za spóźnione zgłoszenie naruszenia

Od momentu wykrycia naruszenia ochrony danych firma telekomunikacyjna ma jedynie 24 godziny, by zgłosić naruszenie ochrony danych. Za niedotrzymanie tego terminu grożą kary pieniężne, o czym już dwukrotnie przekonała się P4 sp. z o.o. Szczegóły w artykule.

Dowiedz się, czy trzeba będzie dokumentować naruszenia niezgłoszone do organu nadzorczego

Archiwalny Jak udokumentować naruszenie ODO w praktyce

Administrator ma obowiązek zgłaszania naruszeń ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych, a w niektórych przypadkach także osobom, których te dane dotyczą. To jednak nie wszystko. Rolą administratora jest także dokumentowanie naruszeń danych osobowych. Co istotne, dotyczy to także takich naruszeń, których nie trzeba zgłaszać. Sprawdź, jakie naruszenia ochrony danych należy dokumentować i jak to robić.

naruszenie ochrony danych

Jak zredagować zgłoszenie naruszenia ochrony danych

W przypadku naruszenia ochrony danych generującego więcej niż małe prawdopodobieństwa wystąpienia ryzyka naruszenia praw i wolności osób fizycznych administrator musi zgłosić to naruszenie do Prezesa UODO. Natomiast gdy to ryzyko jest wysokie, konieczne jest również zawiadomienie podmiotów danych. Sprawdź, jak zredagować te zawiadomienia.

Co powinno znaleźć się w zgłoszeniu naruszenia ochrony danych do Prezesa UODO

Prezes UODO musi być zawiadomiony o naruszeniu ochrony danych najszybciej jak to jest możliwe. Zgłoszenie nie może nastąpić później niż w ciągu72 godzin od stwierdzenia naruszenia.

W zgłoszeniu naruszenia ochrony danych do Prezesa UODO należy:

  • opisać charakter naruszenia ochrony danych osobowych (w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie);
  • wskazać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub inny punkt kontaktowy, od którego można uzyskać więcej informacji;
  • opisać możliwe konsekwencje naruszenia ochrony danych osobowych;
  • opisać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, (w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków).

Zgłoszenie do Prezesa UODO dokonywane jest w postaci elektronicznej. Wykorzystuje się w tym celu formularz dostępny na stronie internetowej UODO.

Zgłoszenie naruszenia ochrony danych do Prezesa UODO w języku polskim

Formularz należy oczywiście wypełnić z należytą precyzją. Kwestia ta nie budzi wątpliwości. Wprawdzie nie sprecyzowano w nim języka, jakiego należy używać. Niemniej jednak z uwagi na język urzędowy UODO oraz język samego formularza, należy go wypełnić wyłącznie w języku polskim.

Korzyści 

Z artykułu dowiesz się m.in.:

  • jakiego języka użyć w zgłoszeniu naruszenia do Prezesa UODO i w zawiadomieniu dla podmiotów danych,
  • jakie informacje powinny zawierać obydwa zgłoszenia,
  • jak zredagować poszczególne informacje,
  • jak postąpić w przypadku, gdy podmiotami danych są dzieci lub osoby ubezwłasnowolnione.
rozmowa telefoniczna

Węgry: kara za niewłaściwe wykorzystanie sztucznej inteligencji

650 tys. euro musi zapłacić węgierska firma telekomunikacyjna w związku z licznymi naruszeniami RODO związanymi ze stosowaniem sztucznej inteligencji. Zarzuty dotyczyły przede wszystkim niewykonania obowiązku informacyjnego i braku odpowiednich zabezpieczeń.

naruszenie ochrony danych

Włochy: kary za naruszenie ochrony danych sygnalistów

Włoski organ nadzorczy wymierzył karę pieniężną w związku z niezabezpieczeniem danych osoby zgłaszającej naruszenie prawa w organizacji. Karę nałożono na szpital i dostawcę systemu IT. Szczegóły w artykule.

Komunikat o naruszeniu ochrony danych oraz raport z naruszenia

Każdy administrator danych osobowych powinien mieć specjalnie przygotowane dokumenty na wypadek wystąpienia naruszenia ochrony danych w organizacji. Są to m.in.: komunikat o naruszeniu ochrony danych oraz raport z naruszenia ochrony danych osobowych. Poniżej przedstawiono przykładowe dokumenty.

naruszenie ochrony danych

Wysoka kara dla francuskiego administratora w branży medycznej

1,5 mln euro będzie musiała zapłacić francuska firma sprzedająca oprogramowanie dla laboratoriów analiz medycznych. Jest to wynik bardzo dużego wycieku danych wrażliwych, będącego skutkiem naruszeń bezpieczeństwa.

wybory kopertowe

WSA w Warszawie: wybory kopertowe niezgodne z RODO

Przekazanie numeru PESEL wybory Poczcie Polskiej w celu organizacji wyborów kopertowych naruszyło RODO. Tak orzekł Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 25 lutego 2022 r. II SA/Wa 2286/21.

Nasi partnerzy i zdobyte nagrody » 

Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

© Portal Poradyodo.pl

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x