Prezes UODO ukarał upomnieniem spółkę, która ujawniła dane osobowe o zwolnieniu lekarskim pracownika swoim kontrahentom. Są to bowiem dane szczególnej kategorii. Nieuzasadnione było to przetwarzanie przez pracodawcę prywatnego numeru telefonu pracownika w czasie jego nieobecności.
Naczelny Sąd Administracyjny oddalił skargę kasacyjną spółki Bisnode od wyroku WSA w Warszawie. Podtrzymał tym samym stanowisko Urzędu Ochrony Danych Osobowych, według którego w przypadku danych osobowych pozyskiwanych z rejestrów publicznych należy spełnić obowiązek informacyjny RODO. Sprawa dotyczy pierwszej kary UODO wymierzonej w Polsce. Przedstawiamy przebieg całej sprawy.
Szwedzki organ nadzorczy ukarał ubezpieczyciela za doprowadzenie do wycieku danych osobowych około 650 tys. klientów. Wyciek był efektem braków w środkach bezpieczeństwach danych stosowanych przez firmę ubezpieczeniową. Te z kolei wynikały z nieprawidłowości, które zgodnie z regułą privacy by design można było usunąć jeszcze na etapie projektowania systemu informatycznego.
Upomnieniem dla firmy telekomunikacyjnej zakończyło się przetwarzanie danych osobowych byłego klienta w celu ewentualnego dochodzenia roszczeń lub obrony przed roszczeniami. Jak wskazał Prezes UODO okoliczności takie nie uzasadniają przetwarzania danych w realizacji uzasadnionego interesu administratora. Drugim z naruszeń było przetwarzanie danych osobowych po zakończeniu współpracy z klientem w korespondencji – bez zgody tego klienta.
Zgubienie świadectwa pracy lub innego dokumentu z akt osobowych rodzi na tyle wysokie ryzyko naruszenia praw i wolności podmiotów danych, że konieczne jest zgłoszenia naruszenia ochrony danych do Prezesa UODO. Nie ma tu znaczenia późniejsze znalezienie dokumentu (już w trakcie postępowania sądowego) jak i fakt, że ryzyko to się nie zmaterializowało. Stanowisko takie przedstawił Wojewódzki Sąd Administracyjny w Warszawie, oddalając skargę spółki na decyzję Prezesa UODO.
Nieodbieranie wezwań od Prezesa Urzędu Ochrony Danych Osobowych, brak odpowiedzi czy też niewyczerpujące wyjaśnienia – w każdym z tych przypadków administrator danych osobowych musi liczyć się z karą pieniężną. W samym 2023 r. Prezes UODO wymierzył 4 kary za brak współpracy (dwie z nich w czerwcu). Sprawdź, w czym przejawiał się brak współpracy z Prezesem UODO i jakich zachowań unikać, by zminimalizować ryzyko ukarania.
Kolejna kara za niewdrożenie odpowiednich środków bezpieczeństwa i brak ich regularnego testowania. Tym razem jedna ze spółek przyjęła rozwiązania, które okazały się niewystarczające przeciwko atakowi ransomware. Spółce zarzucono także m.in. brak regularnego testowania przyjętych rozwiązań Prezes UODO nałożył z tego tytułu karę w wysokości 47 tys. zł.
Szwedzki organ nadzorczy zakazał czterem firmom, w tym operatorowi telekomunikacyjnemu Tele2, przetwarzania danych osobowych z wykorzystaniem Google Analytics i transferem danych osobowych do USA. Wnioski płynące z orzeczenia IMY mogą mieć istotne znaczenie również dla polskich administratorów. Sprawdź, czy korzystanie z Google Analytics jest zgodne z RODO.
30 tys. zł – tyle wyniosła kara nałożona przez Prezesa Urzędu Ochrony Danych Osobowych na burmistrza jednej z gmin. Był to skutek braków w zabezpieczeniach danych m.in. nieaktualnej bazy wirusów, co doprowadziło do skutecznego ataku ransomware i utraty dostępu do danych
Aż 40 mln euro – tyle wyniosła kara wymierzona francuskiej firmie Criteo, która przetwarzała dane osobowe, stosując reklamę behawioralną. W związku z rozwiązaniami przyjętymi przez Criteo doszło do licznych naruszeń RODO.
Naruszenie RODO przez administratora może oznaczać, że będzie on musiał zapłacić odszkodowanie, ale tylko wtedy, jeżeli w związku z tym naruszeniem zostanie wyrządzona szkoda majątkowa lub niemajątkowa. Z drugiej strony w każdym przypadku wyrządzenia szkody – nawet minimalnej – podmiot danych może skutecznie domagać się odszkodowania za naruszenie RODO. Takie wnioski płyną z niedawnego wyroku TSUE.
Spotify to popularny serwis streamingowy, w którym przetwarzane są również dane osobowe. Szwedzki organ nadzorczy uznał, że dochodzi przy tym do naruszenia ochrony danych, w konsekwencji właściciel platformy (Spotify AB) musi zapłacić karę w wysokości blisko 5 mln euro.
Karę 10 tys. zł wymierzył Prezes Urzędu Ochrony Danych Osobowych burmistrzowi jednej z gmin, który nie przeprowadził analizy ryzyka i nie wdrożył właściwych zabezpieczeń danych osobowych. W konsekwencji w ocenie UODO doszło do nieuprawnionego kopiowania danych przez pracownika gminy.
300 tys. euro – tyle wyniosła administracyjna kara pieniężna dla niemieckiego banku, który dopuścił się naruszenia ochrony danych w związku z profilowaniem danych klienta. Bank nie spełnił bowiem obowiązków względem swojego klienta w związku z oceną jego zdolności kredytowej.
23 580 zł – tyle wynosi administracyjna kara pieniężna wymierzona Rzecznikowi Dyscyplinarnemu jednej z Izb Adwokackich. To kolejny już przypadek zgubienia pendrive’a, który kończy się karą za naruszenie RODO. Sprawdź, za co konkretnie ukarano administratora.
Za sprawą agresji Rosji na Ukrainę ponownie na nagłówki mediów trafiła informacja o przeprowadzonych atakach DDoS. Dotknęły one serwisów webowych wielu firm oraz instytucji rządowych w Ukrainie. Skutkiem ataków DDoS był paraliż zarówno stron www, jak i e-usług. Sprawdź, jakie środki ochrony przedsięwziąć na wypadek ataków DDoS.
Otrzymuj raz w tygodniu aktualne informacje o zmianach w prawie oraz komentarze ekspertów
Masz problem związany z ochroną danych osobowych? Napisz do nas i dowiedz się, jak powinieneś postąpić. Nasz ekspert odpowie na wszystkie Twoje pytania.
Zadaj pytanie ekspertowi »Zadawaj pytania na żywo, prowadź dyskusję i rozwiąż swoje problemy związane z ochroną danych osobowych.
Sprawdź kiedy »Nasi eksperci przygotują dokumentację ODO zgodną z Twoimi potrzebami
© Portal Poradyodo.pl
