Zawiadomienie Prezesa UODO oraz podmiotów danych o naruszeniu to jeden z najważniejszych obowiązków administratora. Jego niewykonanie może skutkować dotkliwymi konsekwencjami finansowymi. Przekonał się o tym stosunkowo niedawno Santander Bank Polska. Kary z tego tytułu otrzymało też wiele innych podmiotów. Jako że najlepiej uczyć się na cudzych błędach, wyciągnijmy wnioski z decyzji Prezesa UODO.

Pytanie:  Rodzic uzyskał od szkoły dokument zawierający dane osobowe nauczycieli -  trybie dostępu do informacji publicznej. Teraz zaś rozpowszechnia go w portalu społecznościowym. Czy w ten sposób dochodzi do naruszenia ochrony danych?

Opracowanie kodeksu branżowego nie jest prostym procesem. Ważna jest m.in. właściwa treść kodeksu czy wybór odpowiedniego podmiotu monitorującego. Dobry kodeks branżowy daje  gwarancję pewności stosowania określonych rozwiązań zatwierdzonych przez Prezesa UODO. Poza tym zapewnia niezależny nadzór nad podmiotami stosującymi ten kodeks. Jak przygotować i wdrożyć taki kodeks?

Pytanie:  W nakazie zapłaty wskazano zły numer PESEL pozwanego. W efekcie wszczęto postępowanie egzekucyjne przeciwko niewłaściwej osobie. Powód podał prawidłowy numer PESEL, błąd powstał na etapie wydawania nakazu zapłaty. Kto powinien zgłosić naruszenie ochrony danych?

Serwery w organizacji zwykle służą do przechowywania danych osobowych. Nieuprawniony dostęp do serwerowni może być zatem zakwalifikowany jako naruszenie ochrony danych. Czy konieczne jest wówczas zgłoszenie tego naruszenia?

Pytanie:  Wspólnik bez zgody drugiego wspólnika skopiował bazę danych klientów z zamiarem wykorzystania do własnej działalności. W bazie znajdują się również dane osobowe dotyczące zdrowia. Czy konieczne jest tu zgłoszenie naruszenia ochrony danych?

Pytanie:  Ustawa dotycząca ochrony sygnalistów nadal nie weszła w życie. Jak zatem uregulować bezpieczne kanały zgłoszeń w organizacji?

Standardowe klauzule umowne w zakresie powierzenia przetwarzania danych wskazują, że „W przypadku naruszenia ochrony danych osobowych podmiot przetwarzający współpracuje z administratorem i pomaga mu w wypełnianiu jego obowiązków wynikających z art. 33 i 34 rozporządzenia (UE) 2016/679 z uwzględnieniem charakteru przetwarzania i informacji, którymi dysponuje podmiot przetwarzający” (klauzula nr 9). Sprawdź, czego powinien dotyczyć ten zapis w umowie powierzenia przetwarzania danych.

Pytanie:  W Biuletynie Informacji Publicznej udostępniono oświadczenie majątkowe kierownika jednostki, w którym podał on nadmiarowe dane osobowe. Czy w takiej sytuacji należy zgłosić naruszenie ochrony danych do Prezesa UODO?

Pytanie:  Organizacja ogłosiła konkurs internetowy. Głosowanie odbywało się wyłącznie internetowo poprzez wejście każdego z uczestników na stronę internetową i oddanie głosu. Jedna z osób zbierających podpisy wprowadziła głosy poparcia za osoby głosujące logując się za te osoby na stronie internetowej konkursu i oddając za nie głos. Nie miała żadnego upoważnienia ani pełnomocnictwa od tych osób. Czy wystarczy tu zgłoszenie naruszenia ochrony danych do Prezesa UODO?