Aktualny

Włochy: kary za naruszenie ochrony danych sygnalistów

Dodano: 21 lipca 2022
  • Drukuj
  • A-AA+
naruszenie ochrony danych

Włoski organ nadzorczy wymierzył karę pieniężną w związku z niezabezpieczeniem danych osoby zgłaszającej naruszenie prawa w organizacji. Karę nałożono na szpital i dostawcę systemu IT. Szczegóły w artykule.

System dawał możliwość śledzenia sygnalistów

Naruszenia dotyczy danych przetwarzanych w systemie IT służącym do obsługi zgłoszeń naruszeń prawa. Przetwarzane były w nim dane osobowe tzw. sygnalistów. Dostawcą usług była firma Isweb Srl.

Przeczytaj także: Ochrona sygnalistów – poznaj nowy projekt ustawy

Otóż system sygnalizowania naruszeń pozwalał na śledzenie dostępu do oprogramowania. Połączenia z aplikacją do sygnalizowania naruszeń były rejestrowane i przechowywane dziennikach zapory sieciowej. W konsekwencji możliwe stało się śledzenie użytkowników aplikacji, a zatem także sygnalistów.

Uwaga

Jednocześnie nie poinformowano podmiotów danych, w tym pracowników o takim przetwarzaniu.

Brak odpowiednich zabezpieczeń danych sygnalistów

Podstawowym naruszeniem było niezapewnienie odpowiednich środków technicznych i organizacyjnych. Administrator nie uwzględnił szczególnego ryzyka wynikającego z takiego przetwarzania danych.

Uwaga

Doszło tu w szczególności do uchybienia zasadom ochrony danych w fazie projektowania (privacy by design) oraz domyślnej ochrony danych (privacy by default).

Szpitalowi korzystającemu z tego systemu zarzucono także:

  • nieprzeprowadzenie DPIA,
  • nieuzupełnienie rejestru czynności przetwarzania danych o czynności dotyczące obsługi zgłoszeń naruszeń,
  • ujawnienie danych osobowych nieuprawnionej osobie.

Nieprawidłowości po stronie procesora

Natomiast dostawca systemu IT jako podmiot przetwarzający nie zawarł umowy podpowierzenia danych osobowych z podmiotem świadczącym na jego rzecz usługi hostingowe. W efekcie zarówno administrator, jak i podmiot przetwarzający zostali ukarani karami po 40 tys. euro.

Uwaga

Rady dla ADO

Korzystając z systemu IT od obsługi zgłoszeń naruszeń prawa:

  • zawsze dokonaj uprzedniej analizy ryzyka, a w razie konieczności DPIA,
  • sprawdź, czy system IT nie generuje niepotrzebnego przetwarzania danych osobowych np. sygnalistów,
  • pamiętaj o ochronie danych w fazie projektowania i domyślnej ochronie danych.
Źródło:

WIDEOSZKOLENIA »

Bezpieczne przechowywanie danych w chmurze

Bezpieczne przechowywanie danych w chmurze

Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.

14.06.2024 czytaj więcej »

ZMIANY W PRAWIE »

Nasi partnerzy i zdobyte nagrody » 

Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

© Portal Poradyodo.pl

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x