naruszenie ochrony danych

Jak określić status administratora danych w złożonej strukturze jednostki

Jak określić status administratora danych w złożonej strukturze jednostki

Określenie statusu administratora danych w ramach rozbudowanych struktur organizacyjnych to jedno z kluczowych zadań inspektora ochrony danych. Błędne przypisanie roli ADO lub nieuprawnione zawarcie umowy powierzenia może skutkować poważnym naruszeniem ochrony danych i obowiązkiem zgłoszenia incydentu do PUODO. Dowiedz się, jak prawidłowo ustalić administratora w jednostkach organizacyjnych i jakie działania podjąć w razie nieprawidłowości.

Korzyści 
  • Status administratora danych w jednostkach organizacyjnych zależy od faktycznego decydowania o celach i sposobach przetwarzania danych osobowych pracowników, klientów czy kontrahentów. 
  • W praktyce pojawia się problem zawierania umów powierzenia przetwarzania danych. Jeżeli dyrekcja generalna nie ma formalnego umocowania (np. pełnomocnictwa) do działania w imieniu wszystkich jednostek, nie może zawrzeć takiej umowy. W przeciwnym razie dochodzi do nieuprawnionego udostępnienia danych osobowych, co stanowi naruszenie ochrony danych i może zostać zakwalifikowane jako incydent wymagający zgłoszenia do Prezesa UODO.
  •   Skutki błędnego przypisania roli administratora obejmują konieczność oceny ryzyka i wdrożenia procedury zgłoszenia incydentu bezpieczeństwa do organu nadzorczego. Każda jednostka, będąca administratorem danych osobowych, musi samodzielnie analizować naruszenia i zapewnić zgodność z art. 33 RODO.
Prawie 19 tys. zł kary za utrudnianie dostępu do danych osobowych Prezesowi UODO

Prawie 19 tys. zł kary za utrudnianie dostępu do danych osobowych Prezesowi UODO

Prezes Urzędu Ochrony Danych Osobowych po raz kolejny ukarał finansowo podmiot, który nie współpracował podczas postępowania wyjaśniającego. Brak udzielenia odpowiedzi i nieprzekazanie żądanych informacji skutkuje realnymi konsekwencjami – w 2025 r. przedsiębiorca z sektora gastronomicznego zapłaci niemal 19 tys. zł kary. Przypominamy, jakie są obowiązki administratora oraz na co zwrócić szczególną uwagę, by nie narazić swojej firmy na podobne sankcje.

McDonald’s Polska ukarany rekordową karą za wyciek danych pracowników

McDonald’s Polska ukarany rekordową karą za wyciek danych pracowników

Prezes UODO nałożył na McDonald’s Polska rekordową karę blisko 17 mln zł za poważne naruszenia RODO skutkujące wyciekiem danych pracowników. Sprawa ujawnia fundamentalne błędy w zarządzaniu powierzeniem danych, ryzykiem i nadzorem IOD.

pacjentka zgubiła dowód osobisty

Czy zagubienie dowodu osobistego pacjenta w szpitalu to incydent ochrony danych osobowych?

Pytanie:  Pacjentka leżąca w szpitalu, będąca świadoma i chodząca, stwierdziła brak dowodu osobistego w swojej szafce. Dowód osobisty został jednak znaleziony w szafce innej pacjentki. Pacjentka, której dowód się zagubił, była świadoma regulaminu szpitala dotyczącego depozytu i nie oddała dowodu do depozytu. Personel szpitala nie wiedział, że ta pacjentka ma dowód osobisty. Córka pacjentki zwróciła się do szpitala z zapytaniem o monitoring oraz incydent ochrony danych osobowych, twierdząc, że dowód został użyty, ponieważ znalazł się w innej szafce, ale nie jest tego pewna. Czy jest to incydent, który Inspektor Ochrony Danych (IOD) powinien zgłosić do Urzędu Ochrony Danych Osobowych (UODO)? Nie ma pewności, że inna osoba użyła tego dowodu, a pacjentka nie chciała oddać go do depozytu. Czy to jest poważny incydent dotyczący danych, biorąc pod uwagę, że personel nie wiedział o dowodzie? Szpital posiada procedury dotyczące oddawania rzeczy wartościowych i dokumentów do depozytu. 
Globalna awaria systemów Microsoft – utrata dostępu do danych osobowych nie zawsze jest naruszeniem ochrony danych

Globalna awaria systemów Microsoft – utrata dostępu do danych osobowych nie zawsze jest naruszeniem ochrony danych

W związku z globalną awarią usług chmurowych Microsoft Prezes Urzędu Ochrony Danych Osobowych uspokaja – nie każda przerwa w dostępie do danych osobowych jest naruszeniem ochrony danych. Rekomenduje też, jak postąpić w przypadku utraty dostępu do danych osobowych w chmurze.

  • 22 lipca 2024 r.
  • ADO
Kary RODO za naruszenia ochrony danych - przegląd orzeczeń zagranicznych organów nadzorczych

Kary RODO za naruszenia ochrony danych - przegląd orzeczeń zagranicznych organów nadzorczych

Co oczywiste, najlepiej uczyć się na cudzych błędach. Warto zatem sięgnąć do orzecznictwa Prezesa Urzędu Ochrony Danych Osobowych ale też zagranicznych organów nadzorczych i wyciągnąć wnioski z naruszeń ukaranych administratorów. Przedstawiamy w związku z tym przegląd wybranych orzeczeń zagranicznych organów nadzorczych z 2023 i 2024 r.

b2f4f8dbefdfd27308151350980a3dd004347120-xlarge

Kara za naruszenie ochrony danych dla norweskiej sieci siłowni

10 mln koron norweskich musi zapłacić norweska sieć siłowni SATS, działająca w całej Skandynawii. Firmie zarzucono niezapewnianie dostępu do danych i brak realizacji żądania usunięcia danych. Inne z naruszeń dotyczyło przetwarzania danych osobowych bez podstawy prawnej.

5b10a31033c46d48f9e64282fc0ac9cb9aeb974d-xlarge (3)

Dokumentacja naruszeń ochrony danych osobowych w praktyce

Każde naruszenie ochrony danych, nawet takie, które nie wymaga zgłoszenia, musi być odpowiednio udokumentowane. W praktyce najczęściej stosuje się rejestry naruszeń i raporty z naruszeń, niemniej jednak nie są to jedyne dopuszczalne rozwiązania. Administrator musi postępować zgodnie z regułą rozliczalności, a zatem być gotowy do wykazania, że udokumentował naruszenie i podjął w związku z nim adekwatne działania. Sprawdź, jaką dokumentację ochrony danych prowadzić w związku z naruszeniami.

RODO nakazuje udokumentować każde naruszenie ochrony danych osobowych

W RODO przewidziano obowiązek dokumentowania wszystkich naruszeń ochrony danych osobowych. Udokumentowane musi być każde naruszenie, w tym jego okoliczności, skutki i podjęte działania zaradcze. Nie ma tu znaczenia, jaki poziom ryzyka dla praw i wolności osób fizycznych to naruszenie wygenerowało. Obowiązek udokumentowania dotyczy nawet takich naruszeń ochrony danych, które nie wymagają zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych i zawiadamiania podmiotów danych. Przypomnijmy, że zgłoszenie naruszenia ochrony danych do Prezesa UODO dotyczy wyłącznie takich zdarzeń, które skutkują naruszeniem praw lub wolności podmiotów danych. Zgłoszenie naruszenia nie jest konieczne, w przypadku gdy jest mało prawdopodobne, by dane zdarzenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Wybór metody dokumentowania należy do administratora danych osobowych

RODO nie reguluje jednak sposobów dokumentowania naruszeń ochrony danych. Wybór rozwiązań należy tu do administratora. Dlatego przedstawione w artykule rozwiązania to propozycja. Równie dobrze administrator może przyjąć inny sposób dokumentowania naruszeń. Ważne jest jednak przygotowanie rzetelnej dokumentacji, która posłuży też do szczegółowej analizy incydentu. Zgodnie z RODO to na administratorze danych osobowych spoczywa obowiązek prowadzenia dokumentacji w sposób umożliwiający ewentualną weryfikację przez organ nadzorczy.

Korzyści 

W artykule m.in. o:

  • procedurze reagowania na naruszenia ochrony danych,

  • treści raportu z naruszenia

  • rejestrze naruszeń i tym, co może zawierać,

  • formach dokumentowania naruszeń.

Karta oceny incydentu pod kątem wystąpienia naruszenia ochrony danych osobowych w organizacji

Sprawdź, jak przygotować dokument, który ma na celu zweryfikować, jaki charakter miał incydent, który miał miejsce w organizacji, jaki miała wpływ na bezpieczeństwo przetwarzania danych osobowych oraz podmioty danych.

Firma windykacyjna z karą za naruszenie ochrony danych

Chorwacki organ nadzorczy wymierzył karę 2,26 mln euro firmie windykacyjnej, która od dnia wejścia w życie RODO nie spełniła wielu obowiązków. Naruszenie ochrony danych dotyczyło m.in. wskazania błędnej podstawy przetwarzania, niezawarcia umowy powierzenia, jak i braku odpowiedniego zabezpieczenia danych,

9f62593567a0df58dae30a29ae617694c7d91d62-xlarge (1)

Nieprawidłowości w toku spisu powszechnego w Portugalii

4,3 mln euro kary wymierzył portugalski organ nadzorczy tamtejszemu instytutowi statystycznemu. Było to wynikiem stwierdzenia licznych nieprawidłowości w trakcie spisu powszechnego. Szczegóły w artykule.

9d4af573c5f6911d7802b19e9410cf95d438123c-xlarge (3)

Wyciek identyfikacyjnych danych osobowych pacjentów – czy zgłaszać naruszenie

Pytanie:  Pracownik placówki medycznej wysłał e-maila z danymi osobowymi pacjentów omyłkowo do nieuprawnionej osoby. Były tam wyłącznie dane identyfikacyjne, bez informacji o stanie zdrowia. Czy wobec tego należy zgłosić naruszenie ochrony danych do Prezesa UODO?
b662291422b202e4877c2edefa43a6ad99efac57-xlarge (3)

Zgubienie dokumentacji medycznej pacjenta – czy konieczne zawiadomienie

Pytanie:  W placówce medycznej doszło do zagubienia części dokumentacji medycznej pacjenta. Czy o takiej sytuacji zawiadomić także pacjenta czy też ograniczyć się jedynie do zgłoszenia naruszenia do Prezesa UODO
87db0216482722ef6adfadffd7854ee1465dc127-xlarge (6)

Druga kara UODO dla firmy telekomunikacyjnej za spóźnione zgłoszenie naruszenia

Od momentu wykrycia naruszenia ochrony danych firma telekomunikacyjna ma jedynie 24 godziny, by zgłosić naruszenie ochrony danych. Za niedotrzymanie tego terminu grożą kary pieniężne, o czym już dwukrotnie przekonała się P4 sp. z o.o. Szczegóły w artykule.

Dowiedz się, czy trzeba będzie dokumentować naruszenia niezgłoszone do organu nadzorczego

Archiwalny Jak udokumentować naruszenie ODO w praktyce

Administrator ma obowiązek zgłaszania naruszeń ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych, a w niektórych przypadkach także osobom, których te dane dotyczą. To jednak nie wszystko. Rolą administratora jest także dokumentowanie naruszeń danych osobowych. Co istotne, dotyczy to także takich naruszeń, których nie trzeba zgłaszać. Sprawdź, jakie naruszenia ochrony danych należy dokumentować i jak to robić.

Nasi partnerzy i zdobyte nagrody » 

Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

© Portal Poradyodo.pl

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x