naruszenie ochrony danych osobowych

Kara UODO tylko za zawinione naruszenie ochrony danych

Kara UODO tylko za zawinione naruszenie ochrony danych

Administrator danych osobowych może otrzymać kare pieniężną jedynie za zawinione naruszenie ochrony danych. Wniosek taki płynie z najnowszych orzeczeń Trybunału Sprawiedliwości Unii Europejskiej.

Zgłoszenie naruszenia bezpieczeństwa danych osobowych

Naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Przyjrzymy się, jak może wyglądać przykładowa procedura działania na wypadek ujawnienia zdarzenia będącego lub mogącego być naruszeniem ochrony danych w myśl przepisów ogólnego rozporządzenia o ochronie danych.

87db0216482722ef6adfadffd7854ee1465dc127-xlarge (10)

Znów kara UODO dla ubezpieczyciela za brak zgłoszenia naruszenia ochrony danych

Niezgłoszenie naruszenia ochrony danych było przyczyną nałożenia na Link4 administracyjnej kary pieniężnej w wysokości prawie 104 tys. zł. Sprawdzamy, jakie były okoliczności, w związku z którymi Prezes UODO ukarał ubezpieczyciela.

ochrona danych osobowych 4 (6)

H&M z karą za naruszenie ochrony danych w związku z marketingiem bezpośrednim

Brak właściwej reakcji na sprzeciw wobec marketingu bezpośredniego stał się przyczyną ukarania H&M. W związku z naruszeniem ochrony danych firma musi zapłacić równowartość ponad 28 tys. euro. Więcej na temat decyzji szwedzkiego organu nadzorczego w artykule.

Lista kontrolna: Co powinna zawierać dokumentacja naruszeń ochrony danych osobowych

Upewnij się, jakie dokumenty powinien skompletować administrator danych osobowych, gdy w jego organizacji wystąpi incydent bezpieczeństwa. Wiedza ta może okazać się bezcenna w przypadku kontroli Urzędu Ochrony Danych Osobowych.

97cd2ba5cfb5dfac54f79bdedb8f4bea1ba434d4-xlarge (3)

WSA: zgubienie świadectwa pracy wymaga zgłoszenia naruszenia ochrony danych

Zgubienie świadectwa pracy lub innego dokumentu z akt osobowych rodzi na tyle wysokie ryzyko naruszenia praw i wolności podmiotów danych, że konieczne jest zgłoszenia naruszenia ochrony danych do Prezesa UODO. Nie ma tu znaczenia późniejsze znalezienie dokumentu (już w trakcie postępowania sądowego) jak i fakt, że ryzyko to się nie zmaterializowało. Stanowisko takie przedstawił Wojewódzki Sąd Administracyjny w Warszawie, oddalając skargę spółki na decyzję Prezesa UODO.

EROD

Nowy wzór skargi w związku z naruszeniem ochrony danych w sprawach transgranicznych

Europejska Rada Ochrony Danych podczas 81. Posiedzenia plenarnego przyjęła nowy wzór skargi składanej w związku z naruszeniem ochrony danych do organów nadzorczych do państw członkowskich. Opracowano również formularz potwierdzenia złożenia skargi.

  • 11 lipca 2023 r.
  • ADO
d015637db28665e8001ee34399d0088f3fea2a22-xlarge (1)

Ochrona danych osobowych a TikTok - co na to RODO

Wykorzystywanie platformy TikTok w promowaniu swoich towarów i usług nie jest niczym niezwykłym. Taka działalność będzie jednak wiązać się z przetwarzaniem danych osobowych. Czy korzystanie z TikToka jest zgodne z RODO? Czy jest bezpieczne dla danych Twoich klientów? Odpowiedzi w artykule.

Dlaczego przetwarzanie danych osobowych w aplikacji TikTok budzi wątpliwości

TikTok stał się jedną z najpopularniejszych platform społecznościowych na świecie. Nie jest więc niczym niezwykłym, że firmy chcą korzystać z tej platformy w celach promocyjnych. Tu jednak należy mieć na względzie, że TikTok jest platformą chińskiego producenta ByteDance, a dane osobowe użytkowników mogą być przekazywane do Chin. To rodzi zaś obawy w kontekście ochrony danych osobowych i cyberbezpieczeństwa.

Obawy dotyczą m.in. legalności transferu danych osobowych do państwa trzeciego jakim są Chiny. Potęguje je fakt, że tamtejsze podmioty z branży technologicznej (m.in. ByteDance) muszą współpracować z organami państwowym, a być może także przekazywać im dane osobowe. Istnieje tym samym ryzyko inwigilacji, w szczególności przez sprawdzanie lokalizacji użytkownika i przechwytywanie danych zapisanych na telefonie.

Z drugiej strony ByteDance nie potwierdza faktu przekazywania danych osobowych chińskim służbom. Z polityki prywatności TikToka wynika, że dane osobowe są przechowywane w USA i w Singapurze. Niemniej jednak działania te nie zostały szerzej opisane, a to tylko potęguje obawy.

Urzędnicy nie powinni korzystać z TikToka

W niektórych państwach zalecono, by TikToka nie instalowały osoby związane z administracją publiczną – zwłaszcza w sferach obronności i bezpieczeństwa narodowego.

Co więcej, takie państwa jak Belgia, Francja, Norwegia czy Dania zabroniły pracownikom administracji instalowania TikToka na urządzeniach wykorzystywanych w celach służbowych. Przy czym ograniczenia w Danii objęły jedynie pracowników resortu obrony.

Blokady TikToka w niektórych krajach

W niektórych państwach doszło natomiast do całkowitego zablokowania TikToka. Przy czym blokada była związana nie tylko z bezpieczeństwem danych, ale też np. z pogorszonymi relacjami z Chinami czy nawet rygorystycznymi zasadami religijnymi. Tak stało się m.in. w Indiach czy Afganistanie.

Dowiedz się, czy trzeba będzie dokumentować naruszenia niezgłoszone do organu nadzorczego

Dokumentacja naruszeń ochrony danych osobowych według RODO

Administrator ma obowiązek zgłaszania naruszeń ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych, a w niektórych przypadkach także osobom, których te dane dotyczą. To jednak nie wszystko. Rolą administratora jest także dokumentowanie naruszeń danych osobowych. Co istotne, dotyczy to także takich naruszeń, których nie trzeba zgłaszać. Sprawdź, jakie naruszenia ochrony danych należy dokumentować i jak to robić.

006075b4f850a9f261513fd5d79ce4f842b98ff4-xlarge (5)

Omyłkowa korespondencja z ZUS z danymi osobowymi – jak postąpić

Pytanie:  Do pracodawcy wpłynęła korespondencja ZUS zawierające dane osoby, która nie jest jego pracownikiem? Jak postąpić w razie otrzymania takiej omyłkowej korespondencji pracownika?
7845eee0143a4c961d41e6a2703da7a7c2ccda78-xlarge (14)

380 tys. euro kary za naruszenie ochrony danych wrażliwych

Przetwarzanie danych osobowych o zdrowiu bez zgody, zbyt długi okres przechowywania, archaiczne środki bezpieczeństwa danych – takie naruszenia ochrony danych były przyczyną ukarania francuskiej firmy Doctissimo. Sprawdź, czego dotyczyła decyzja wydana przez CNIL.

c798327deef16d11754a6d140115fbb465f444c3-xlarge (7)

Spółdzielnia mieszkaniowa z karą UODO za niezgłoszenie naruszenia ochrony danych

52 tys. zł – tyle wyniosła kara wymierzona przez UODO jednej ze spółdzielni mieszkaniowych. Jest ona wynikiem niezgłoszenia naruszenia ochrony danych do organu nadzorczego i osób poszkodowanych. Poznaj motywy rozstrzygnięcia.

044a5e02fe57a649755eac5203f8ad1f46b4176a-xlarge (28)

Dane osobowe w skardze do Prezesa UODO – czy to naruszenie

Pytanie:  Na administratora złożono skargę do Prezesa UODO. Skarga została złożona przez jego kontrahenta W skardze umieścił dane osobowe pracownika administratora. Czy w ten sposób skarżący sam naruszył RODO?
1908e2201cb2b5807b5a2997c08cd678a08d7d47-xlarge (1)

Wyciek numeru PESEL – czy w każdym przypadku wymaga zgłoszenia

Wyciek danych osobowych w postaci numerów PESEL zwykle generuje wysokie ryzyko dla praw i wolności podmiotów danych. Wiąże się ono przede wszystkim z kradzieżą tożsamości czy zaciągnięciem zobowiązania na osobę poszkodowaną. Czy jednak zawsze jest to wysokie ryzyko?

Dokumenty z numerem PESEL wysłane nieuprawnionej osobie

Aby odpowiedzieć na to pytanie, warto przeanalizować jedną ze spraw, która zakończyła się karą wymierzoną przez Prezesa UODO, ale później uchyloną przez sąd administracyjny. Otóż agent ubezpieczeniowy przesłał dokument z danymi osobowymi klienta omyłkowo na adres e-mail nieuprawnionej osoby. Agent działał w imieniu firmy ubezpieczeniowej, z którą miał zawartą umowę powierzenia przetwarzania danych. W przesłanym omyłkowo dokumencie znalazły się następujące dane osobowe:

  • imię i nazwisko;

  • numer PESEL oraz

  • miejscowość wraz z kodem pocztowym.

Ze złożonych przez administratora wyjaśnień wynikało, że nie zgłosił on naruszenia ochrony danych do Prezesa UODO ani też nie zawiadomił o tym podmiotu danych. Wskazał on także, że otrzymał oświadczenie osoby, której omyłkowo wysłano dane osobowe klienta. W oświadczeniu tym wskazana osoba podała, że wykasowała wiadomość e-mail i już jej nie posiada oraz że nie zapoznała się z jego treścią.

Na tej podstawie firma ubezpieczeniowa zrezygnowała ze zgłaszania naruszenia, twierdząc, że prawdopodobieństwo wystąpienia ryzyka naruszenia praw i wolności podmiotów danych było niskie.

Odmienna ocena Prezesa UODO

Organ nadzorczy nie zgodził się z wyjaśnieniami firmy ubezpieczeniowej. Zarzucił administratorowi niezgłoszenie naruszenia ochrony danych Prezesowi UODO (art. 33 ust. 1 RODO) oraz niepoinformowanie o tym podmiotów danych (art. 34 ust. 1 RODO). Jak wskazał Prezes UODO, nie było pewności, czy rzeczywiście dane osobowe zostały usunięte przez osobę nieuprawnioną, w szczególności czy nie zostały przesłane w postaci kopii do innych nieuprawnionych. Inny słowy, w ocenie administratora oświadczenie odbiorcy korespondencji nie gwarantowało bezpieczeństwa danych. Co więcej nie można było tego oświadczenia faktycznie zweryfikować, a odbiorcy nie można było w tej sytuacji uznać za zaufanego.

Prezes UODO wskazał na następujące zagrożenia:

  • ujawnienie danych może ograniczać korzystanie z praw obywatelskich i usług kierowanych do ogółu obywateli (np. głosowania w ramach budżetu obywatelskiego);

  • osoby trzecie mogą podjąć próbę zaciągnięcia zobowiązań na poszkodowanego (np. przez Internet lub telefonicznie, bez konieczności okazywania dokumentu tożsamości);

  • osoby trzecie mogą chcieć zawrzeć inną umowę cywilnoprawną na szkodę osoby dotkniętej naruszeniem;

  • osoby trzecie mogą próbować uzyskać dostęp do systemów obsługujących udzielanie świadczeń medycznych i uzyskać wgląd do danych o stanie zdrowia poszkodowanego.

Ujawnienie numeru PESEL w połączeniu z imieniem i nazwiskiem nieuprawnionej osobie w ocenie Prezesa UODO rodzi maksymalne prawdopodobieństwo identyfikacji, ponieważ PESEL jednoznacznie identyfikuje konkretną osobę.

W efekcie Prezes UODO nałożył na firmę ubezpieczeniową administracyjną karę pieniężną w wysokości 159 176 zł.

Korzyści 

Z artykułu dowiesz się m.in.

  • dlaczego Wojewódzki Sąd Administracyjny w Warszawie uchylił decyzję Prezesa UODO,

  • czy ujawnienie numeru PESEL nieuprawnionej osobie należy zawsze zgłaszać do Prezesa UODO,

  • czy w każdym przypadku o takim zdarzeniu należy zawiadamiać poszkodowanych.

system rozpoznawania twarzy

Włochy: wysoka kara pieniężna za użycie systemu rozpoznawania twarzy

20 mln euro musi zapłacić spółka Clearview Al Inc. w związku z nieprawidłowościami w stosowaniu systemu rozpoznawania twarzy. Karę wymierzył włoski organ nadzorczy.

Nasi partnerzy i zdobyte nagrody » 

Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

© Portal Poradyodo.pl

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x