Kary RODO w Polsce

Zgubione niezabezpieczone pendrive powodem kary UODO

19 lutego 202422 lutego 2023 przez mgr Dominik Spałek

Kara administracyjna UODO zgubiona pamięć przenośna

Zgubione niezabezpieczone pendrive powodem kary UODO

Zgubione niezabezpieczone pendrive powodem kary UODO. Niestety to nie pierwszy przypadek, kiedy w następstwie zdarzenia, jakim jest zagubienie niezabezpieczonych pamięci przenośnych, dochodzi do naruszenia ochrony danych osobowych, w następstwie czego Urząd Ochrony Danych Osobowych wydaje decyzję na mocy, której nakłada na Administratora Danych Osobowych administracyjną karę pieniężną.

Komunikat PUODO cyt.: "(...)PUrząd Ochrony Danych Osobowych nałożył na Sąd Rejonowy Szczecin-Centrum w Szczecinie administracyjną karę pieniężną w wysokości 30 tys. zł. W decyzji zostało stwierdzone naruszenie przepisów RODO polegające na niewdrożeniu przez administratora odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu przenośnych pamięci. (...)".

Dowiedz się więcej

Przesłanie email na błędny adres

19 lutego 202423 listopada 2022 przez mgr Dominik Spałek

Przesłanie email na błędny adres

Przesłanie email na błędny adres i brak adekwatnych działań po stronie administratora doprowadził do nałożenia na niego kary administracyjnej. Dnia 03 listopada 2021r. Prezes Urzędu Ochrony Danych Osobowych wydał Decyzję w sprawie o sygn. akt.: DKN.5131.18.2022 W sprawie wydany został także Komunikat, jakiego treść znajduje się na stronie internetowej Urzędu pt. „Kolejna kara dla operatora telekomunikacyjnego za brak zgłoszenia naruszenia„.

Komunikat PUODO cyt.: "(...)UODO, stwierdzając naruszenie przepisów Prawa telekomunikacyjnego, polegające na niezawiadomieniu organu nadzorczego o naruszeniu danych osobowych w terminie 24 godzin od wykrycia naruszenia danych osobowych oraz braku niezwłocznego powiadomienia o naruszeniu danych osobowych abonenta, którego dotyczyło naruszenie, nałożył na P4 Sp. z o.o. karę pieniężną w wysokości 250 tys. złotych.(...)".

Dowiedz się więcej

Kara RODO za kradzież laptopa

19 lutego 202416 listopada 2022 przez mgr Dominik Spałek

Kara RODO za kradzież prywatnego laptopa

Kara RODO za kradzież laptopa

Kara RODO za kradzież laptopa – Kilkakrotnie pisaliśmy już na łamach Proste to RODO o zdarzeniach, które polegały na utracie danych w następstwie kradzieży sprzętu komputerowego, starając się wzbudzać świadomość czytelników w zakresie konieczności podejmowania zdecydowanych działań, jeśli chodzi o zabezpieczenia takiego przenośnego sprzętu. „Kradzież laptopa ze szpitala” albo „Administrator nie może przerzucać swoich obowiązków na pracownika„, albo „Kara za zgubiony pendrive„. Niestety sytuacja znowu się powtórzyła … dnia 02 listopada 2021r. Prezes Urzędu Ochrony Danych Osobowych wydał Decyzję w sprawie o sygn. akt.: DKN.5131.8.2022 W sprawie wydany został także Komunikat, jakiego treść znajduje się na stronie internetowej Urzędu pt. „Analiza ryzyka i działanie zgodnie z przyjętymi procedurami przeciwdziałają utracie danych„.

Komunikat PUODO cyt.: "(...)UODO nałożył administracyjną karę pieniężną w wysokości 8 tys. zł. na wójta gminy Dobrzyniewo Duże za niezapewnienie odpowiedniego bezpieczeństwa danych osobowych oraz brak wdrożenia odpowiednich środków technicznych i organizacyjnych.(...)".

Dowiedz się więcej

Kara UODO dla podmiotu medycznego

19 lutego 20241 sierpnia 2022 przez mgr Dominik Spałek

Kara UODO dla podmiotu medycznego

Kara UODO dla podmiotu medycznego. Jak wynika z treści Uzasadnienia do Decyzji Prezesa UODO, Rzecznik Praw Pacjenta poinformował UODO o możliwości zaistnienia naruszenia ochrony danych osobowych w Uniwersyteckim Centrum Klinicznym Warszawskiego Uniwersytetu Medycznego z siedzibą w Warszawie. Pacjent otrzymał od jednego z lekarzy skierowanie do poradni specjalistycznej zawierające dane osobowe dotyczące innej osoby w zakresie: imię, nazwisko, adres zamieszkania, numer ewidencyjny PESEL oraz informacje o stanie zdrowia (informacja o rozpoznaniu i celu porady).

Decyzja PUODO (DKN.5131.34.2021) Jak czytamy w treści Decyzji Prezesa UODO z dnia 06 lipca 2022r., zapadłej w sprawie o sygn akt.: DKN.5131.34.2021 cyt.: "(...)Prezes Urzędu Ochrony Danych Osobowych, stwierdzając naruszenie (...) nakłada na Uniwersyteckie Centrum Kliniczne Warszawskiego Uniwersytetu Medycznego z siedzibą w Warszawie przy ul. Banacha 1a, administracyjną karę pieniężną w wysokości 10 000 złotych (słownie: dziesięciu tysięcy złotych) (...)".

Dowiedz się więcej

Pracownik nie może zastępować administratora w realizacji jego obowiązków

19 lutego 202412 kwietnia 2022 przez mgr Dominik Spałek

Pracownik nie może zastępować ADO w jego obowiązkach

Pracownik nie może zastępować administratora w realizacji jego obowiązków

Pracownik nie może zastępować administratora w realizacji jego obowiązków, czyli ciąg dalszy sprawy związanej z Karą za zgubiony pendrive. Wojewódzki Sąd Administracyjny (WSA), wyrokiem z 15 lutego 2022 r., utrzymał w mocy decyzję organu nadzorczego, w której w związku ze stwierdzonym naruszeniem ochrony danych osobowych dokonanym przez Prezesa Sądu Rejonowego w Zgierzu, została nałożona na niego kara pieniężna w wysokości 10 tys. zł. Sprawa dotyczyła zgubienia przez kuratora sądowego niezaszyfrowanego nośnika pamięci typu pendrive. Na nośniku przechowywano dane 400 osób, podlegających nadzorowi kuratorskiemu i objętych wywiadem środowiskowym.

Komunikat PUODO cyt.: "(...)Prezes Sądu Rejonowego nie zabezpieczał służbowych nośników z danymi, a jedynie polecił swoim pracownikom, by sami to robili. Tymczasem to on, jako administrator danych, a nie użytkownik nośnika, odpowiada za wdrożenie odpowiednich środków technicznych i organizacyjnych, zapewniających odpowiednie bezpieczeństwo danych. Za brak takich rozwiązań organ nadzorczy nałożył na Prezesa Sądu administracyjną karę pieniężną w kwocie 10 tys. zł. (...)".

Dowiedz się więcej

Kara za zgubiony pendrive

22 lutego 202313 sierpnia 2021 przez mgr Dominik.Spalek

Kara PUODO za zgubiony pendrive dla Sądu Rejonowego w Zgierzu

Kara za zgubiony pendrive

Kara za zgubiony pendrive. Dnia 13 lipca 2021r. Prezes Urzędu Ochrony Danych Osobowych wydał Decyzję w sprawie o sygn. akt.: DKN.5131.22.2021.

Dowiedz się więcej

Przestępstwo z art. 107 Ustawy o ochronie danych osobowych

19 lutego 20248 kwietnia 2021 przez Mariusz Stasiak vel Stasek

Przestępstwo z art. 107 Ustawy o ochronie danych osobowych

Przestępstwo z art. 107 Ustawy o ochronie danych osobowych – przed Sądem Rejonowym w Toruniu dnia 17 lutego 2021r. zapadł wyrok w sprawie II K 1109/20. Nie byłoby w tym nic zastanawiającego, gdyby rozstrzygnięcie nie dotyczyło wspomnianego w tytule art. 107 Ustawy o ochronie danych osobowych.

Art. 107 ust. 1 Ustawy o ochronie danych osobowych Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony,podlega grzywnie,karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.

Niewinne zdjęcie i MMS ...

W szkole znajdowała się książka wejść i wyjść (co jest bardzo częstym sposobem zwiększania bezpieczeństwa fizycznego i p.poż. w szkołach), na których słuchacze uczęszczający na kurs realizowany w tej szkole wpisywali godziny swoich wejść i wyjść z budynku.

Oskarżona weszła w posiadanie zdjęcia kartki z tej książki na, której znajdowały się dane osobowe słuchaczy po czym przesłała to zdjęcie do partnera jednej ze słuchaczek wraz z komentarzem w którym sugerowano, że ta uczestniczka kursu wychodzi z kompanii z innymi mężczyznami.

Krótka wiadomość MMS powodem prolemów Na zdjęciu przesłanym do partnera współuczestniczki kursu widniały imiona i nazwiska, stopnie oraz daty wyjścia i powrotu do szkoły uczestników kursu. Współuczestniczka kursu dowiedziała się o tym i wniosła sprawę do sądu z art. 107 ust. 1 u.o.d.o.

Dowiedz się więcej

19 lutego 202423 marca 2020 przez mgr Dominik.Spalek

Statystyki kar RODO w Polsce i w Europie.

Kary RODO w Polsce. Wielu z nas w codziennej pracy stara się wszelkimi sposobami wzbudzać i docierać do świadomości pracowników oraz administratorów danych osobowych. Nie ukrywajmy tego, ale jedną z metod jest uświadamianie poprzez podawanie przykładów kar nałożonych przez właściwe organy. Często konkretna decyzja dotycząca kary RODO w Polsce, czy w Europie, staje się przedmiotem naszej głębszej analizy.

Kary RODO to jedno ale są jeszcze odszkodowania.

Artykuł 82
Prawo do odszkodowania i odpowiedzialność

Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.
Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.
Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.
Jeżeli w tym samym przetwarzaniu uczestniczy więcej niż jeden administrator lub podmiot przetwarzający lub uczestniczy w nim zarówno administrator jak i podmiot przetwarzający i zgodnie z ust. 2 i 3 odpowiadają za szkodę spowodowaną przetwarzaniem, ponoszą oni odpowiedzialność solidarną za całą szkodę, tak by zapewnić osobie, której dane dotyczą, rzeczywiste uzyskanie odszkodowania.
Administrator lub podmiot przetwarzający, który zgodnie z ust. 4 zapłacił odszkodowanie za całą wyrządzoną szkodę, ma prawo żądania od pozostałych administratorów lub podmiotów przetwarzających, którzy uczestniczyli w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej części szkody, za którą ponoszą odpowiedzialność, zgodnie z warunkami określonymi w ust. 2.
Postępowanie sądowe dotyczące odszkodowania jest wszczynane przed sądem właściwym na mocy prawa państwa członkowskiego, o którym mowa w art. 79 ust. 2.

Ciekawe narzędzie do analityki danych w zbiorze Kary RODO

Skontaktowali się z nami twórcy serwisu PrivacyAffairs.com proponując nam współpracę, oraz przedstawiając swoje narzędzie – bezpłatne – do analizowania informacji związanych z decyzjami nakładającymi kary RODO w Europie. Dzięki ich rozwiązaniu w banalnie prosty i szybki sposób możemy wyszukać interesująca nas decyzję, posługując się odpowiednim filtrem. W naszej ocenie analiza tematu Kary RODO w Polsce stanie się teraz o wiele łatwiejsza i szybsza.

GDPR Fines Tracker & Statistics

Dane pozyskane dzieki GDPR Fines Tracker & Statistics.

Możliwość wyszukiwania decyzji z użyciem filtrów.

Użytkownik ma możliwość, zupełnie bezpłatnie, wyszukania interesującej go decyzji, jak również przeanalizowania jej treści, z uwagi na to, iż prowadzi do niej bezpośredni link. Mamy także możliwość posługiwania się wyszukiwarką poprzez odpowiednie filtrowanie wiadomości po zadanej zmiennej np. kraj, wielkość kary.

Jak działa program RODO Sender

Program do automatycznego szyfrowania załączników email oraz wysyłania hasła odrębnym kanałem za pomocą SMS do odbiorcy wiadomości.

Darmowa wersja

159,00 pln

299,00 pln

399,00 pln

Wybierz interesujący tematycznie dział Sklepu RODO

Dokumentacja RODO
dla podmiotów medycznych

Wejdź do sklepu >>>

Dokumentacja RODO
dla podmiotów oświatowych

Wejdź do sklepu >>>

Dokumentacja RODO
dla firm i przedsiębiorstw

Wejdź do sklepu >>>

Stanowiska IOD
Zalecenia i sanowiska

Wejdź do sklepu >>>

Oferta
usług informatycznych

Wejdź do sklepu >>>

Oferta
niszczarki do dokumentów

Wejdź do sklepu >>>

Kara RODO dla szkoły za odciski palca uczniów

19 lutego 20245 marca 2020 przez mgr Dominik.Spalek

Kara RODO dla szkoły za odciski palca uczniów

W komunikacie UODO z dnia 05 marca 2020r., czytamy cyt.: „(…) Prezes Urzędu Ochrony Danych Osobowych nałożył karę w wysokości 20 tys. zł w związku z naruszeniem polegającym na przetwarzaniu danych biometrycznych dzieci podczas korzystania przez nie ze szkolnej stołówki (…)”.

Decyzja Z 18.02.2020R. ZSZZS.440.768.2018

W treści decyzji czytamy cyt.: „(…) Prezes Urzędu Ochrony Danych Osobowych (…) stwierdzając naruszenie przez Szkołę Podstawową w Gdańsku (…) polegające na przetwarzaniu danych biometrycznych dzieci podczas korzystania przez nie z usług stołówki szkolnej:

nakazuje Szkole Podstawowej w Gdańsku usunięcie danych osobowych w zakresie przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci korzystających z usług stołówki szkolnej,
nakazuje Szkole Podstawowej w Gdańsku zaprzestanie zbierania danych osobowych w zakresie przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci korzystających z usług stołówki szkolnej,
nakłada na Szkołę Podstawową w Gdańsku, za naruszenie stwierdzone w niniejszej decyzji karę pieniężną w wysokości 20 000,00 zł (słownie: dwadzieścia tysięcy złotych) (…)”.

Treść decyzji dostępna tutaj >>>

Brak podstawy prawnej do przetwarzania danych.

Szkoła przetwarzała dane szczególnych kategorii (dane biometryczne) 680 dzieci bez podstawy prawnej, mogąc jednocześnie zastosować inne formy identyfikacji uczniów. Szkoła korzystała z czytnika biometrycznego przy wejściu do stołówki szkolnej, którego zadaniem było identyfikowanie dzieci w celu weryfikacji tego, czy uiszczona została opłaty za posiłek.

Pierwszeństwo dla zidentyfikowanych.

W komunikacie PUODO wskazuje, iż cyt.: „(…) w ukaranej Szkole Podstawowej, zgodnie z zasadami wydawania obiadów, umieszczonymi na stronie internetowej stołówki prowadzonej przez Szkołę, uczniowie, którzy nie posiadają identyfikacji biometrycznej, przepuszczają wszystkich i oczekują na końcu kolejki. Gdy wszyscy uczniowie z identyfikacją biometryczną wejdą do stołówki, rozpoczyna się wpuszczanie pojedynczo uczniów bez identyfikacji biometrycznej. Tego typu zasady zdaniem Prezesa UODO wprowadzają nierówne traktowanie uczniów i ich bezpodstawne zróżnicowanie, ponieważ wyraźnie promują uczniów posiadających identyfikację biometryczną. Ponadto w ocenie organu wykorzystywanie danych biometrycznych w zestawieniu z celem, w jakim są one przetwarzane, jest w istotny sposób nieproporcjonalne (…)”.

Urząd Ochrony Danych Osobowych System biometryczny identyfikuje cechy, które są niezmienne i niejednokrotnie – jak w przypadku danych daktyloskopijnych – niemożliwe do zmiany. Z uwagi na unikalność i stałość danych biometrycznych, przekładających się na ich niezmienności w czasie, wykorzystywanie danych biometrycznych powinno odbywać się z ostrożnością i rozwagą. Dane biometryczne mają wyjątkowy charakter w świetle podstawowych praw i wolności, dlatego też wymagają wyjątkowej ochrony. Ewentualny ich wyciek może skutkować dużym ryzykiem naruszenia praw i wolności osób fizycznych.

Wyciąg z treści Decyzji PUODO

Posługujemy się definicją z Rozporządzenia RODO

cyt.: „(…) zgodnie z art. 4 pkt 14 RODO dane biometryczne oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne (…)”.

Identyfikacja osoby w oparciu o dane biometryczne wg. definicji RODO

cyt.: „(…) w wyniku zestawienia wzorca biometrycznego zarejestrowanego na urządzeniu z palcem dziecka przyłożonym do czytnika biometrycznego, a także pozostałymi informacjami (m.in. numerem pozycji, imieniem, nazwiskiem, klasą oraz uprawnieniem do odebrania obiadu) możliwa jest bowiem jego identyfikacja.(…)”.

Wyścigi podstaw do przetwarzania wygrywa 6.1.e RODO

cyt.: „(…) Zgodnie z art. 106 ustawy z dnia 14 grudnia 2016 r. Prawo oświatowe (Dz. U. z 2019 r., poz. 1148) w celu zapewnienia prawidłowej realizacji zadań opiekuńczych, w szczególności wspierania prawidłowego rozwoju uczniów, szkoła może zorganizować stołówkę. W związku z tym stwierdzić należy, że podstawą przetwarzania jakichkolwiek danych osobowych dzieci w związku z realizacją tego zadania szkoły nie mogła być zgoda, ponieważ podstawą do przetwarzania danych osobowych dzieci w tym celu przez Szkołę jest art. 6 ust. 1 lit. e RODO, zgodnie z którym przetwarzanie jest zgodne z prawem między innymi gdy przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Oznacza to, że Szkoła przetwarza dane osobowe ucznia na podstawie przepisów prawa, wykonując swoje ustawowe zadania. Nie potrzebuje zatem odrębnej zgody rodziców bądź pełnoletniego ucznia na przetwarzanie danych osobowych w związku z realizacją tych zadań, tj. świadczeniem usług przez stołówkę szkolną. Realizując te usługę Szkoła może przetwarzać tylko te dane osobowe ucznia, które są niezbędne do świadczenia usług stołówki szkolnej. Wskazać należy, że przepisy prawa powszechnie obowiązującego wskazują rodzaj danych jakie Szkoła może pozyskiwać od swoich uczniów. Żaden z nich nie zezwala Szkole na przetwarzanie (pozyskiwanie i gromadzenie) danych biometrycznych (których przetwarzanie jest co do zasady zakazane w art. 9 ust. 1 RODO) uczniów w celu realizacji tego zadania.(…)”.

Dla zainteresowanych.

Zainteresowanych tematem daktyloskopii, odsyłam do interesującego opracowania pt. „Identyfikacja użytkownika na podstawie analizy linii papilarnych„. Autor opracowania podnosi, iż cyt.: „(…) system biometryczny popełnia dwa rodzaje błędów. Pierwszy polega na uznaniu za identyczne dwóch odcisków, które w rzeczywistości pochodzą z różnych palców. Jest to tzw. fałszywe dopasowanie. Drugi rodzaj błędu to uznanie dwóch identycznych odcisków palców za różne – tzw. fałszywe niedopasowanie (…)”.

Raz jeszcze o definicji na gruncie Rozporządzenia RODO

Uwaga pierwsza

Po lekturze ww opracowania, wskazuję raz jeszcze i podkreślam, na gruncie analizowanej Decyzji PUODO pamiętać należy o autonomicznej definicji danych biometrycznych, jaką wprowadza art. 4 pkt 14) Rozporządzenia RODO, gdzie to „dane biometryczne” oznaczają

(1) dane osobowe, które wynikają ze specjalnego przetwarzania technicznego,
(2) dotyczą cech
- fizycznych,
- fizjologicznych
- lub behawioralnych osoby fizycznej
(3) które
- umożliwiają
- lub potwierdzają jednoznaczną identyfikację tej osoby,
(np.) takie jak wizerunek twarzy lub dane daktyloskopijne (patrz Uwaga druga)

(1) + (2) + (3) = dane biometryczne.

Uwaga druga

Uwaga druga, aby uznać iż mamy do czynienia z danymi biometrycznymi, w rozumieniu ww. definicji na gruncie Rozporządzenia RODO, nie wystarczy, aby przetwarzać dane w postaci wizerunku twarzy (fotografia). Motyw 51 stanowi bowiem, iż cyt.: „(…) przetwarzanie fotografii nie powinno zawsze stanowić przetwarzania szczególnych kategorii danych osobowych, gdyż fotografie są objęte definicją „danych biometrycznych” tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości (…)”.

Definicja danych biometrycznych

Lorem ipsum dolor sit amet, consectetur adipisciZa sprawą Decyzji PUODO z dnia18 lutego 2020r., ZSZZS.440.768.2018, na mocy której PUODO nałożył na szkołę karę pieniężną w związku z naruszeniem polegającym na przetwarzaniu danych biometrycznych dzieci podczas korzystania przez nie ze szkolnej stołówki wywołana została dyskusja nt. definicji danych biometrycznych. Czym są dane biometryczne w rozumieniu RODO? Czy dane daktyloskopijne to to samo co dane biometryczne? Czytaj więcej >>>

Procedura wewnętrzna bezpieczeństwa na terenie placówki.<br>Procedura postępowania w przypadku podejrzenia zakażenia COVID-19.

 5/5

99,00 pln

Praktyczne aspekty ochrony danych osobowych w placówkach oświatowych.
30 marca 2020 r.
Częstochowa

 5/5

499,00 pln

Materiały szkoleniowe z warsztatów – Praktyczne aspekty ochrony danych osobowych w placówkach oświatowych. Zestaw gotowych dokumentów do wykorzystania w pracy.

 5/5

200,00 pln

Regulamin monitoringu wizyjnego dla szkoły. Kompletne opracowanie wraz z klauzulą i infografiką.

 5/5

150,00 pln

Wzór oświadczenia woli o upoważnieniu do odbioru dziecka z przedszkola, ze świetlicy szkolnej.

 5/5

29,00 pln