3 minute read
BEZPIEcZEŃSTWO DANYcH
from OSOZ Polska
by OSOZ Polska
Podsumowanie kar za naruszenie RODO w Polsce. Aktualizacja
Tuż przed końcem 2020 roku, Prezes UODO nałożył dwie znaczące kary, co znacznie zwiększyło sumę sankcji finansowych wynikających z naruszenia ochrony danych osobowych w zeszłym roku.
Advertisement
KAROLINA SZUŚCIK, CISA, Inspektor Ochrony Danych, KAMSOFT S.A.
W artykule z serii „Bezpieczeństwo danych”, który pojawił się w Czasopiśmie OSOZ numer 12/2020 wskazane zostało, iż w ostatnim tygodniu grudnia 2020 r. w kwestii nałożonych przez Prezesa UODO kar raczej niewiele się zmieni. W czasie pisania poprzedniego tekstu wiadomo było, że do 28 grudnia 2020 r. nałożonych zostało tylko 8 kar pieniężnych. Jednakże rok 2020 zaskoczył nas kolejny raz, gdyż w ostatnim tygodniu grudnia zapadły aż dwie decyzje administracyjne, których skutkiem było nałożenie na podmioty wysokich kar pieniężnych: – 31 grudnia 2020. Niezdolność do szybkiego stwierdzenia zagrożenia i jego usunięcia doprowadziła spółkę
ID Finance Poland do utraty danych.
Prezes UODO uznał więc, że spółka nie wdrożyła odpowiednich środków technicznych i organizacyjnych przez co doszło do naruszenia zasady poufności danych i nałożył na spółkę karę w wysokości ponad 1 mln zł; – 29 grudnia 2020. Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A. naruszyło przepisy ogólnego rozporządzenia o ochronie danych, gdyż nie zgłosiło Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych. Organ nadzorczy nałożył więc na spółkę karę pieniężną w wysokości 85588 zł.
W związku z tym sprostowania wymaga podsumowanie ilości oraz wysokości kar nałożonych przez UODO w roku 2020. To samo dotyczy zestawienia kar nałożonych przez Prezesa UODO w 2020 roku, o dwie kary nałożone w ostatnim tygodniu grudnia. Choć dopiero co rozpoczął się nowy rok, już pojawiły się pierwsze grzywny. 19 stycznia Prezes UODO powiadomił o nałożeniu 25 tys. zł kary na Śląski Uniwersytet Medyczny. Na uczelni doszło
UODO zajął się sprawą wycieku danych z jednej z platform telemedycznych, co mogło skutkować utratą poufności danych osobowych pacjentów, które są chronione tajemnicą zawodową. To powinno uczulić podmioty sięgające do rozwiązań telemedycznych na kwestie bezpieczeństwa danych (zdjęcie: UODO).
rok
2019
2020 Liczba kar nałożonych przez Prezesa UODO
8
10 Wysokość kar nałożonych przez Prezesa UODO
958670 EUR
782768 EUR do naruszenia ochrony danych, o którym administrator powinien powiadomić nie tylko organ nadzoru, ale i osoby, których dotyczył ten incydent. Ponadto do Urzędu Ochrony Danych Osobowych wpłynęło zgłoszenie naruszenia ochrony danych osobowych od jednej z firm odpowiedzialnych za platformę telemedyczną oraz zdalne konsultacje z lekarzami różnych specjalności. Sprawa jest obecnie analizowana. Przy tej okazji Prezes UODO przypomniał, że należy zachować dużą ostrożność podczas podawania danych przez Internet. Osoby, które mają podejrzenie, że mogły paść ofiarami kradzieży tożsamości powinny w pierwszej kolejności zgłaszać się na Policję. Prezes UODO nie jest bowiem organem ścigania, nie ma uprawnień do prowadzenia postępowania zmierzającego do wykrycia sprawcy przestępstwa i oceny, czy doszło do jego popełnienia, oraz do kwalifikacji czynu przestępczego i wymierzenia stosownej kary.
Data decyzji Podmiot na który została nałożona kara Wysokość kary (EUR) Naruszony przepis RODO Podsumowanie
4.03.2020 Szkoła w Gdańsku 4600 (20000 PLN) Art. 5 RODO, Art. 9 RODO Niewystarczające podstawy prawne do przetwarzania danych biometrycznych uczniów.
9.03.2020 Vis Consulting Sp. z o.o. 4600 (20000 PLN) Art. 31 RODO Art. 58 RODO Niewystarczająca współpraca z Prezesem UODO.
3.06.2020 Przedsiębiorca prowadzący niepubliczne przedszkole i żłobek 1168 (5000 PLN) Art. 31 RODO Art. 58 RODO Niewystarczająca współpraca z Prezesem UODO
10.07.2020 East Power Sp. z o.o. 3400 (15000 PLN) Art. 31 RODO Art. 58 RODO Niewystarczająca współpraca z Prezesem UODO
15.07.2020 Biuro Geodezji i Kartografii
31.08.2020 Geodeta Generalny Polski („GKK”) 22300 (100000 PLN) Art. 31 RODO Art. 58 RODO Niewystarczająca współpraca z Prezesem UODO
22700 (100000 PLN) Art. 5 RODO, Art. 6 RODO Niewystarczające podstawy prawne do przetwarzania danych osobowych
8.09.2020 Szkoła Główna Gospodarstwa Wiejskiego w Warszawie 11200 (50000 PLN) Art. 32 RODO
14.12.2020 Virgin Mobile Polska 443000 (1,9 MLN PLN) Art. 5 ust. 1 lit. f, Art. 5 ust. 2, Art. 25 ust. 1, Art. 32 ust. 1 lit. b i d, Art. 32 ust. 2
29.12.2020 Towarzystwo Ubezpieczeń i Reasekuracji WArtA s.A. 20000 (85588 PLN) Art. 33 ust. 1, Art. 34 ust. 1 Brak zgłoszenia Prezesowi UODO naruszenia ochrony danych osobowych w określonym czasie oraz nie zawiadomienie o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osób, których dane dotyczą.
Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji
Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji
31.12.2020 ID Finance Poland sp. z o.o. 250000 (1 MLN PLN) Art. 5 ust. 1 lit. f, Art. 25 ust. 1, Art. 32 ust. 1 lit. b, art. 32 ust. 1 lit. d oraz art. 32 ust. 2 Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji. Brak wdrożenia zasady privacy by design.
