naruszenie ochrony danych osobowych

UODO: kara 40 tys. zł za niezgłoszenie naruszenia ochrony danych pacjentki

UODO: kara 40 tys. zł za niezgłoszenie naruszenia ochrony danych pacjentki

Prezes UODO nałożył na spółkę Gyncentrum karę finansową w wysokości 40 tys. zł za niezgłoszenie naruszenia ochrony danych osobowych pacjentki. Jednocześnie wystosował upomnienie za brak bezzwłocznego zawiadomienia osób, których dane dotyczyły. Sprawa stanowi ważne przypomnienie o obowiązkach administratorów w przypadku incydentów bezpieczeństwa danych, szczególnie w sektorze medycznym.

Wysłanie wypowiedzenia na błędny adres e-mail – czy zgłosić naruszenie do UODO?

Wysłanie wypowiedzenia na błędny adres e-mail – czy zgłosić naruszenie do UODO?

Pytanie:  Pracownik naszego działu kadr i płac pomyłkowo wysłał skan wypowiedzenia umowy o pracę na niewłaściwy adres e-mail (pracownik prosił o wysłanie go na swoją prywatną skrzynkę, po tym jak nie zabrał ze sobą dokumentu po jego osobistym wręczeniu), który nie był adresem pracownika. W adresie e-mail, na który wysłane zostało wypowiedzenie, było to samo imię i nazwisko, co w adresie pracownika, ale bez cyfr, które są w adresie wskazanym przez pracownika. Wypowiedzenie to zawierało imię i nazwisko oraz adres pracownika, a także wskazywało przyczyny rozwiązania umowy o pracę. Po wysłaniu skanu wypowiedzenia pracownik działu kadr nie otrzymał z tegoż adresu żadnej informacji zwrotnej, w tym informacji o tym, że adres nie istnieje, czy też ze jest nieprawidłowy). Po odkryciu pomyłki, w ślad za tym mailem na ten sam adres został wysłany kolejny, z prośbą o usunięcie poprzedniej wiadomości skierowanej pomyłkowo oraz o potwierdzenie takiego usunięcia. Na razie odpowiedzi nie mamy. Dodatkowo w stopkach maili wysyłanych przez naszych pracowników jest standardowo zamieszczona informacja o tym, że wiadomość może zawierać informacje poufne lub zastrzeżone i jeżeli osoba otrzymująca nie jest adresatem wiadomości, prosimy o niezwłoczne powiadomienie nadawcy w zwrotnej wiadomości oraz o usunięcie wiadomości wraz ze wszystkimi załącznikami, bez zachowywania jakiejkolwiek kopii. Tak też było i w tym przypadku. Dodatkowo okres wypowiedzenia umowy o pracę w stosunku do tego pracownika upłynie na koniec października, pracownik jest zwolniony z obowiązku świadczenia pracy w okresie wypowiedzenia. Czy w takim przypadku administrator powinien powiadomić Prezesa UODO o naruszeniu oraz czy równolegle powinniśmy powiadomić pracownika o tej sytuacji?
WSA utrzymuje rekordową karę UODO dla Panek SA za naruszenie RODO

WSA utrzymuje rekordową karę UODO dla Panek SA za naruszenie RODO

Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę Panek SA i utrzymał nałożoną przez Prezesa UODO karę ponad 1,5mln zł za naruszenie ochrony danych osobowych w trakcie uruchamiania nowej witryny internetowej i procesu kopiowania plików z dawnej strony WWW tej firmy. Wyrok ten podkreśla kluczową rolę skutecznego zarządzania ryzykiem i kontroli podmiotów przetwarzających w świetle RODO.

Anonimizacja danych w protestach wyborczych

Anonimizacja danych osobowych w praktyce sądowej - reakcja Prezesa UODO na publikację protestów wyborczych

Prawidłowa anonimizacja danych osobowych to nie tylko zasłonięcie imienia i nazwiska, ale kompleksowe działanie uniemożliwiające identyfikację osoby na podstawie wszystkich dostępnych cech dokumentu. Instytucje publiczne, w tym sądy, powinny wdrażać szczegółowe procedury anonimizacji, angażować Inspektorów Ochrony Danych i regularnie weryfikować skuteczność tych działań. W odpowiedzi na ostatnie wydarzenia Prezes UODO zwrócił się do Pierwszego Prezesa Sądu Najwyższego z żądaniem wyjaśnień w sprawie publikacji nieprawidłowo zanonimizowanych dokumentów. 

Kara UODO dla GOPS – brak rzetelnej analizy ryzyka i kontroli przyczyną incydentu naruszenia danych osobowych

Kara UODO dla GOPS – brak rzetelnej analizy ryzyka i kontroli przyczyną incydentu naruszenia danych osobowych

Naruszenie ochrony danych osobowych w GOPS Aleksandrów pokazało, jak kluczowa jest prawidłowa analiza ryzyka i regularne kontrole przetwarzania danych. UODO nałożył kary za zaniedbania, które doprowadziły do utraty dostępu do danych 1500 osób. Sprawdź, jak uniknąć podobnych incydentów w swojej organizacji i jakie wnioski płyną z decyzji Prezesa UODO.

zgłoszenie o naruszeniu RODO

Czy IOD może przyjmować zgłoszenia o naruszeniu ochrony danych osobowych?

Pytanie:  PYTANIE: Czy istnieją praktyczne wskazówki, jak zorganizować postępowanie w sytuacji naruszeń w organizacji, w której działa IOD? Według poradnika IOD powinien być o naruszeniu niezwłocznie informowany, aby umożliwić mu monitorowanie procesu jego obsługi od najwcześniejszego etapu. Ale czy może te zgłoszenia przyjmować? Z pewnością ustaleniem zaistnienia naruszenia oraz postępowaniem wyjaśniającym powinien zająć się zespół ds. naruszeń, w którego skład wchodziłby m.in. IOD. Z drugiej strony wyznaczenie jednej osoby przyjmującej zgłoszenia byłoby praktyczniejsze i szybsze niż powiadamianie każdego członka zespołu.
Kara UODO tylko za zawinione naruszenie ochrony danych

Kara UODO tylko za zawinione naruszenie ochrony danych

Administrator danych osobowych może otrzymać kare pieniężną jedynie za zawinione naruszenie ochrony danych. Wniosek taki płynie z najnowszych orzeczeń Trybunału Sprawiedliwości Unii Europejskiej.

Zgłoszenie naruszenia bezpieczeństwa danych osobowych

Naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Przyjrzymy się, jak może wyglądać przykładowa procedura działania na wypadek ujawnienia zdarzenia będącego lub mogącego być naruszeniem ochrony danych w myśl przepisów ogólnego rozporządzenia o ochronie danych.

87db0216482722ef6adfadffd7854ee1465dc127-xlarge (10)

Znów kara UODO dla ubezpieczyciela za brak zgłoszenia naruszenia ochrony danych

Niezgłoszenie naruszenia ochrony danych było przyczyną nałożenia na Link4 administracyjnej kary pieniężnej w wysokości prawie 104 tys. zł. Sprawdzamy, jakie były okoliczności, w związku z którymi Prezes UODO ukarał ubezpieczyciela.

ochrona danych osobowych 4 (6)

H&M z karą za naruszenie ochrony danych w związku z marketingiem bezpośrednim

Brak właściwej reakcji na sprzeciw wobec marketingu bezpośredniego stał się przyczyną ukarania H&M. W związku z naruszeniem ochrony danych firma musi zapłacić równowartość ponad 28 tys. euro. Więcej na temat decyzji szwedzkiego organu nadzorczego w artykule.

Lista kontrolna: Co powinna zawierać dokumentacja naruszeń ochrony danych osobowych

Upewnij się, jakie dokumenty powinien skompletować administrator danych osobowych, gdy w jego organizacji wystąpi incydent bezpieczeństwa. Wiedza ta może okazać się bezcenna w przypadku kontroli Urzędu Ochrony Danych Osobowych.

97cd2ba5cfb5dfac54f79bdedb8f4bea1ba434d4-xlarge (3)

WSA: zgubienie świadectwa pracy wymaga zgłoszenia naruszenia ochrony danych

Zgubienie świadectwa pracy lub innego dokumentu z akt osobowych rodzi na tyle wysokie ryzyko naruszenia praw i wolności podmiotów danych, że konieczne jest zgłoszenia naruszenia ochrony danych do Prezesa UODO. Nie ma tu znaczenia późniejsze znalezienie dokumentu (już w trakcie postępowania sądowego) jak i fakt, że ryzyko to się nie zmaterializowało. Stanowisko takie przedstawił Wojewódzki Sąd Administracyjny w Warszawie, oddalając skargę spółki na decyzję Prezesa UODO.

EROD

Nowy wzór skargi w związku z naruszeniem ochrony danych w sprawach transgranicznych

Europejska Rada Ochrony Danych podczas 81. Posiedzenia plenarnego przyjęła nowy wzór skargi składanej w związku z naruszeniem ochrony danych do organów nadzorczych do państw członkowskich. Opracowano również formularz potwierdzenia złożenia skargi.

  • 11 lipca 2023 r.
  • ADO
d015637db28665e8001ee34399d0088f3fea2a22-xlarge (1)

Ochrona danych osobowych a TikTok - co na to RODO

Wykorzystywanie platformy TikTok w promowaniu swoich towarów i usług nie jest niczym niezwykłym. Taka działalność będzie jednak wiązać się z przetwarzaniem danych osobowych. Czy korzystanie z TikToka jest zgodne z RODO? Czy jest bezpieczne dla danych Twoich klientów? Odpowiedzi w artykule.

Dlaczego przetwarzanie danych osobowych w aplikacji TikTok budzi wątpliwości

TikTok stał się jedną z najpopularniejszych platform społecznościowych na świecie. Nie jest więc niczym niezwykłym, że firmy chcą korzystać z tej platformy w celach promocyjnych. Tu jednak należy mieć na względzie, że TikTok jest platformą chińskiego producenta ByteDance, a dane osobowe użytkowników mogą być przekazywane do Chin. To rodzi zaś obawy w kontekście ochrony danych osobowych i cyberbezpieczeństwa.

Obawy dotyczą m.in. legalności transferu danych osobowych do państwa trzeciego jakim są Chiny. Potęguje je fakt, że tamtejsze podmioty z branży technologicznej (m.in. ByteDance) muszą współpracować z organami państwowym, a być może także przekazywać im dane osobowe. Istnieje tym samym ryzyko inwigilacji, w szczególności przez sprawdzanie lokalizacji użytkownika i przechwytywanie danych zapisanych na telefonie.

Z drugiej strony ByteDance nie potwierdza faktu przekazywania danych osobowych chińskim służbom. Z polityki prywatności TikToka wynika, że dane osobowe są przechowywane w USA i w Singapurze. Niemniej jednak działania te nie zostały szerzej opisane, a to tylko potęguje obawy.

Urzędnicy nie powinni korzystać z TikToka

W niektórych państwach zalecono, by TikToka nie instalowały osoby związane z administracją publiczną – zwłaszcza w sferach obronności i bezpieczeństwa narodowego.

Co więcej, takie państwa jak Belgia, Francja, Norwegia czy Dania zabroniły pracownikom administracji instalowania TikToka na urządzeniach wykorzystywanych w celach służbowych. Przy czym ograniczenia w Danii objęły jedynie pracowników resortu obrony.

Blokady TikToka w niektórych krajach

W niektórych państwach doszło natomiast do całkowitego zablokowania TikToka. Przy czym blokada była związana nie tylko z bezpieczeństwem danych, ale też np. z pogorszonymi relacjami z Chinami czy nawet rygorystycznymi zasadami religijnymi. Tak stało się m.in. w Indiach czy Afganistanie.

Dowiedz się, czy trzeba będzie dokumentować naruszenia niezgłoszone do organu nadzorczego

Dokumentacja naruszeń ochrony danych osobowych według RODO

Administrator ma obowiązek zgłaszania naruszeń ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych, a w niektórych przypadkach także osobom, których te dane dotyczą. To jednak nie wszystko. Rolą administratora jest także dokumentowanie naruszeń danych osobowych. Co istotne, dotyczy to także takich naruszeń, których nie trzeba zgłaszać. Sprawdź, jakie naruszenia ochrony danych należy dokumentować i jak to robić.

Nasi partnerzy i zdobyte nagrody » 

Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

© Portal Poradyodo.pl

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x