Włoski organ nadzorczy wymierzył karę pieniężną w związku z niezabezpieczeniem danych osoby zgłaszającej naruszenie prawa w organizacji. Karę nałożono na szpital i dostawcę systemu IT. Szczegóły w artykule.
Naruszenia dotyczy danych przetwarzanych w systemie IT służącym do obsługi zgłoszeń naruszeń prawa. Przetwarzane były w nim dane osobowe tzw. sygnalistów. Dostawcą usług była firma Isweb Srl.
Przeczytaj także: Ochrona sygnalistów – poznaj nowy projekt ustawy
Otóż system sygnalizowania naruszeń pozwalał na śledzenie dostępu do oprogramowania. Połączenia z aplikacją do sygnalizowania naruszeń były rejestrowane i przechowywane dziennikach zapory sieciowej. W konsekwencji możliwe stało się śledzenie użytkowników aplikacji, a zatem także sygnalistów.
Jednocześnie nie poinformowano podmiotów danych, w tym pracowników o takim przetwarzaniu.
Podstawowym naruszeniem było niezapewnienie odpowiednich środków technicznych i organizacyjnych. Administrator nie uwzględnił szczególnego ryzyka wynikającego z takiego przetwarzania danych.
Doszło tu w szczególności do uchybienia zasadom ochrony danych w fazie projektowania (privacy by design) oraz domyślnej ochrony danych (privacy by default).
Szpitalowi korzystającemu z tego systemu zarzucono także:
Natomiast dostawca systemu IT jako podmiot przetwarzający nie zawarł umowy podpowierzenia danych osobowych z podmiotem świadczącym na jego rzecz usługi hostingowe. W efekcie zarówno administrator, jak i podmiot przetwarzający zostali ukarani karami po 40 tys. euro.
Rady dla ADO
Korzystając z systemu IT od obsługi zgłoszeń naruszeń prawa:
Z wideoszkolenia dowiesz się m.in.:
Szkolenie prowadzi Agnieszka Wachowska, radczyni prawna, Co-Managing Partners, Szefowa zespołu IT-Tech w TKP
© Portal Poradyodo.pl
