Po ponownej analizie Prezes UODO ustalił nowy wymiar administracyjnej kary pieniężnej dla Morele.net. Na spółkę nałożona została kara w wysokości 3,8 mln zł. Sprawa, która ciągnie się od 2018 r. dotyczy bardzo dużego wycieku danych klientów spółki. W ocenie organu nadzorczego jest to konsekwencja nieprawidłowości dotyczących środków bezpieczeństwa danych. Poznaj motywy decyzji Prezesa UODO.

Udostępnienie informacji publicznej bez anonimizacji danych osobowych jest naruszeniem ochrony danych, które w określonych przypadkach powinno być zgłoszone Prezesowi UODO jak i podmiotom danych. Wnioski takie można wysnuć z decyzji Prezesa UODO, który nałożył na Prokuraturę Rejonową w Gorlicach karę pieniężną w wysokości 20 tys. zł. Kara została właśnie podtrzymana w wyroku Wojewódzkiego Sadu Administracyjnego w Warszawie.

Prezes Urzędu Ochrony Danych Osobowych ukarał upomnieniem Ministra Edukacji i Nauki oraz Ministra Zdrowia za przetwarzanie danych osobowych szczególnej kategorii bez podstawy prawnej. Co więcej, dane te zostały przekazane pomiędzy ministrami mimo braku umowy powierzenia przetwarzania danych osobowych.

Status odbiorcy ma także podmiot przetwarzający. W związku z tym klauzula informacyjna musi wskazywać procesora jako odbiorcę, jeśli są mu przekazywane dane osobowe. Brak w tym zakresie doprowadził do ukarania jednego z administratorów danych osobowych w Luksemburgu.

Przetwarzanie danych osobowych pozyskanych z rejestrów publicznych nie zwalnia z obowiązku informacyjnego RODO. Przekonała się o tym jedna z belgijskich firm. Stwierdzone naruszenia były zbliżonych do rozpatrywanej w Polsce głośnej sprawy spółki Bisnode.

Francuski organ nadzorczy CNIL ukarał jedną z firm zarządzających magazynami w grupie Amazon za liczne naruszenia ochrony danych. Organ stwierdził m.in. nadmiarowe przetwarzanie danych osobowych pracowników w ramach kontroli jakości pracy.

10 tys. zł – tyle wyniosła administracyjna kara pieniężna nałożona na Sąd Okręgowy w Krakowie za brak zgłoszenia naruszenia ochrony danych osobowych do Prezesa UODO oraz niezawiadomienie podmiotów danych. Sprawdź, czego dotyczyło naruszenie.

CNIL nałożył administracyjną karę pieniężną w kwocie 105 tys. euro za naruszenia RODO i przepisów krajowych na firmę prowadzącą aplikację Neosurf, służącą do płatności elektronicznych. Dotyczyły one m.in. okresów przechowywania danych osobowych i stosowania plików cookies. Przedstawiamy motywy decyzji francuskiego organu nadzorczego.

Czy władze Kościoła katolickiego powinny usunąć dane osobowe na żądanie z akt kościelnych w tym księgi chrztów? W sprawie tej wypowiedział się niedawno belgijski organ nadzorczy ON. Sprawdź, do jakich wniosków doszedł ten organ, rozpoznając skargę na odmowę usunięcia danych osobowych przez Kościół.

Przepisy dotyczące ochrony sygnalistów nadal nie zostały wdrożone w Polsce. Czy to oznacza, że unijną dyrektywę o sygnalistach należy zignorować? Niekoniecznie. Dyrektywa w pewnych przypadkach może bowiem znaleźć bezpośrednie zastosowanie w braku odpowiedniego prawa krajowego. I to mimo braku krajowej ustawy o sygnalistach.

Czy numer VIN jest daną osobową? W ocenie Trybunału Sprawiedliwości Unii Europejskiej nie jest to wykluczone. Wszystko zależy od tego, czy numer VIN pozwala na identyfikację osoby fizycznej. Sprawdź, kiedy w ocenie TSUE numer VIN jest daną osobową.

Były Minister Zdrowia Adam Niedzielski został ukarany karą w wysokości 100 tys. zł za ujawnienie danych o stanie zdrowia w mediach społecznościowych. Sprawa dotyczy ujawnienia na Twitterze recepty wystawionej przez lekarza. W ocenie Prezesa Urzędu Ochrony Danych było to ujawnienie bezprawne.

600 tys. euro – tyle wyniosła administracyjna kara pieniężna wymierzona przez CNIL (francuski organ nadzorczy) operatorowi telekomunikacyjnemu GROUPE CANAL+. Stwierdzone naruszenia dotyczyły m.in. nienależytego wykonywania obowiązku informacyjnego RODO.

Scoring kredytowy dokonywany przez biuro informacji kredytowej to zautomatyzowane przetwarzanie danych osobowych czyli profilowanie. Jako taki scoring podlega regułom RODO i musi być oparty na jednej z podstaw przetwarzania przewidzianych w art. 6 rozporządzenia unijnego. Na takim stanowisku stanął Trybunał Sprawiedliwości Unii Europejskiej w niedawnym wyroku w sprawie SCHUFA Holding AG.

10 mln koron norweskich musi zapłacić norweska sieć siłowni SATS, działająca w całej Skandynawii. Firmie zarzucono niezapewnianie dostępu do danych i brak realizacji żądania usunięcia danych. Inne z naruszeń dotyczyło przetwarzania danych osobowych bez podstawy prawnej.