Zgubienie świadectwa pracy lub innego dokumentu z akt osobowych rodzi na tyle wysokie ryzyko naruszenia praw i wolności podmiotów danych, że konieczne jest zgłoszenia naruszenia ochrony danych do Prezesa UODO. Nie ma tu znaczenia późniejsze znalezienie dokumentu (już w trakcie postępowania sądowego) jak i fakt, że ryzyko to się nie zmaterializowało. Stanowisko takie przedstawił Wojewódzki Sąd Administracyjny w Warszawie, oddalając skargę spółki na decyzję Prezesa UODO.
Nieodbieranie wezwań od Prezesa Urzędu Ochrony Danych Osobowych, brak odpowiedzi czy też niewyczerpujące wyjaśnienia – w każdym z tych przypadków administrator danych osobowych musi liczyć się z karą pieniężną. W samym 2023 r. Prezes UODO wymierzył 4 kary za brak współpracy (dwie z nich w czerwcu). Sprawdź, w czym przejawiał się brak współpracy z Prezesem UODO i jakich zachowań unikać, by zminimalizować ryzyko ukarania.
Kolejna kara za niewdrożenie odpowiednich środków bezpieczeństwa i brak ich regularnego testowania. Tym razem jedna ze spółek przyjęła rozwiązania, które okazały się niewystarczające przeciwko atakowi ransomware. Spółce zarzucono także m.in. brak regularnego testowania przyjętych rozwiązań Prezes UODO nałożył z tego tytułu karę w wysokości 47 tys. zł.
Szwedzki organ nadzorczy zakazał czterem firmom, w tym operatorowi telekomunikacyjnemu Tele2, przetwarzania danych osobowych z wykorzystaniem Google Analytics i transferem danych osobowych do USA. Wnioski płynące z orzeczenia IMY mogą mieć istotne znaczenie również dla polskich administratorów. Sprawdź, czy korzystanie z Google Analytics jest zgodne z RODO.
30 tys. zł – tyle wyniosła kara nałożona przez Prezesa Urzędu Ochrony Danych Osobowych na burmistrza jednej z gmin. Był to skutek braków w zabezpieczeniach danych m.in. nieaktualnej bazy wirusów, co doprowadziło do skutecznego ataku ransomware i utraty dostępu do danych
Aż 40 mln euro – tyle wyniosła kara wymierzona francuskiej firmie Criteo, która przetwarzała dane osobowe, stosując reklamę behawioralną. W związku z rozwiązaniami przyjętymi przez Criteo doszło do licznych naruszeń RODO.
Naruszenie RODO przez administratora może oznaczać, że będzie on musiał zapłacić odszkodowanie, ale tylko wtedy, jeżeli w związku z tym naruszeniem zostanie wyrządzona szkoda majątkowa lub niemajątkowa. Z drugiej strony w każdym przypadku wyrządzenia szkody – nawet minimalnej – podmiot danych może skutecznie domagać się odszkodowania za naruszenie RODO. Takie wnioski płyną z niedawnego wyroku TSUE.
Spotify to popularny serwis streamingowy, w którym przetwarzane są również dane osobowe. Szwedzki organ nadzorczy uznał, że dochodzi przy tym do naruszenia ochrony danych, w konsekwencji właściciel platformy (Spotify AB) musi zapłacić karę w wysokości blisko 5 mln euro.
Karę 10 tys. zł wymierzył Prezes Urzędu Ochrony Danych Osobowych burmistrzowi jednej z gmin, który nie przeprowadził analizy ryzyka i nie wdrożył właściwych zabezpieczeń danych osobowych. W konsekwencji w ocenie UODO doszło do nieuprawnionego kopiowania danych przez pracownika gminy.
300 tys. euro – tyle wyniosła administracyjna kara pieniężna dla niemieckiego banku, który dopuścił się naruszenia ochrony danych w związku z profilowaniem danych klienta. Bank nie spełnił bowiem obowiązków względem swojego klienta w związku z oceną jego zdolności kredytowej.
23 580 zł – tyle wynosi administracyjna kara pieniężna wymierzona Rzecznikowi Dyscyplinarnemu jednej z Izb Adwokackich. To kolejny już przypadek zgubienia pendrive’a, który kończy się karą za naruszenie RODO. Sprawdź, za co konkretnie ukarano administratora.
Astronomiczną sumę 1,2 miliarda euro musi zapłacić Meta IE prowadzącą Facebooka. Karę taką nałożył irlandzki organ nadzorczy po wiążącej decyzji EROD wydanej na podstawie art. 65 RODO. Szczegóły w artykule.
Przetwarzanie danych osobowych o zdrowiu bez zgody, zbyt długi okres przechowywania, archaiczne środki bezpieczeństwa danych – takie naruszenia ochrony danych były przyczyną ukarania francuskiej firmy Doctissimo. Sprawdź, czego dotyczyła decyzja wydana przez CNIL.
Przetwarzanie danych biometrycznych za pomocą AI bez podstawy prawnej – takie naruszenie zarzucił firmie Clearview AI austriacki organ nadzorczy. To jednak nie wszystko. Za niewykonanie nakazu francuskiego organu nadzorczego firma wykorzystująca sztuczną inteligencję w przetwarzaniu danych osobowych musi zapłacić kolejną karę.
Dyrektywa NIS2 ustanawia pewne obowiązki także dla tzw. podmiotów kluczowych i ważnych (PKW), do których mogą się zaliczać niektórzy administratorzy danych osobowych zarówno z sektora prywatnego, jak i publicznego, w tym także w samorządzie. Na co zatem uwagę powinny zwrócić osoby odpowiedzialne za cyberbezpieczeństwo jednostkach samorządowych w związku z dyrektywą NIS2?
Otrzymuj raz w tygodniu aktualne informacje o zmianach w prawie oraz komentarze ekspertów
Masz problem związany z ochroną danych osobowych? Napisz do nas i dowiedz się, jak powinieneś postąpić. Nasz ekspert odpowie na wszystkie Twoje pytania.
Zadaj pytanie ekspertowi »Zadawaj pytania na żywo, prowadź dyskusję i rozwiąż swoje problemy związane z ochroną danych osobowych.
Sprawdź kiedy »Nasi eksperci przygotują dokumentację ODO zgodną z Twoimi potrzebami
© Portal Poradyodo.pl
