Proste to RODO w medycynie w oświacie w firmie

Wdrożenie RODO w firmie / w szkole / w podmiocie medycznym

Wdrożenie RODO w firmie / w oświacie / w medycynie

Dokumentacja RODO dla firmy, dla podmiotów medycznych, przychodni, szpitali, lekarzy, dla placówek oświatowych. Pełnienei funkcji Inspektora Ochrony Danych w firmach, w podmiotach medycznych, w szkołach. Szkolenia z zakresu cyberbezpieczeństwa oraz ochrony danych osobowych. Audyt Bezpieczeństwa Informacji KRI. Dofinansowania dla samorządów, dla podmiotów medycznych na cyberbezpieczeństwo.

Przesłanie email na błędny adres

Przesłanie email na błędny adres

Przesłanie email na błędny adres

Przesłanie email na błędny adres i brak adekwatnych działań po stronie administratora doprowadził do nałożenia na niego kary administracyjnej. Dnia 03 listopada 2021r. Prezes Urzędu Ochrony Danych Osobowych wydał Decyzję w sprawie o sygn. akt.: DKN.5131.18.2022 W sprawie wydany został także Komunikat, jakiego treść znajduje się na stronie internetowej Urzędu pt. „Kolejna kara dla operatora telekomunikacyjnego za brak zgłoszenia naruszenia„.

Dowiedz się więcej

Kara RODO za kradzież laptopa

Kara RODO za kradzież prywatnego laptopa

Kara RODO za kradzież laptopa

Kara RODO za kradzież laptopa  – Kilkakrotnie pisaliśmy już na łamach Proste to RODO o zdarzeniach, które polegały na utracie danych w następstwie kradzieży sprzętu  komputerowego, starając się wzbudzać świadomość czytelników w zakresie konieczności podejmowania zdecydowanych działań, jeśli chodzi o zabezpieczenia takiego przenośnego sprzętu. „Kradzież laptopa ze szpitala” albo „Administrator nie może przerzucać swoich obowiązków na pracownika„, albo „Kara za zgubiony pendrive„. Niestety sytuacja znowu się powtórzyła … dnia 02 listopada 2021r. Prezes Urzędu Ochrony Danych Osobowych wydał Decyzję w sprawie o sygn. akt.: DKN.5131.8.2022 W sprawie wydany został także Komunikat, jakiego treść znajduje się na stronie internetowej Urzędu pt. „Analiza ryzyka i działanie zgodnie z przyjętymi procedurami przeciwdziałają utracie danych„.

Dowiedz się więcej

Kara UODO dla podmiotu medycznego

Kara UODO dla podmiotu medycznego w Polsce

Kara UODO dla podmiotu medycznego

Kara UODO dla podmiotu medycznego. Jak wynika z treści Uzasadnienia do Decyzji Prezesa UODO, Rzecznik Praw Pacjenta poinformował UODO o możliwości zaistnienia naruszenia ochrony danych osobowych w Uniwersyteckim Centrum Klinicznym Warszawskiego Uniwersytetu Medycznego z siedzibą w Warszawie. Pacjent otrzymał od jednego z lekarzy skierowanie do poradni specjalistycznej zawierające dane osobowe dotyczące innej osoby w zakresie: imię, nazwisko, adres zamieszkania, numer ewidencyjny PESEL oraz informacje o stanie zdrowia (informacja o rozpoznaniu i celu porady).

Dowiedz się więcej

Pracownik nie może zastępować administratora w realizacji jego obowiązków

Pracownik nie może zastępować ADO w jego obowiązkach

Pracownik nie może zastępować administratora w realizacji jego obowiązków

Pracownik nie może zastępować administratora w realizacji jego obowiązków, czyli ciąg dalszy sprawy związanej z Karą za zgubiony pendrive. Wojewódzki Sąd Administracyjny (WSA), wyrokiem z 15 lutego 2022 r., utrzymał w mocy decyzję  organu nadzorczego, w której w związku ze stwierdzonym naruszeniem ochrony danych osobowych dokonanym przez Prezesa Sądu Rejonowego w Zgierzu, została nałożona na niego kara pieniężna w wysokości 10 tys. zł. Sprawa dotyczyła zgubienia przez kuratora sądowego niezaszyfrowanego nośnika pamięci typu pendrive. Na nośniku przechowywano dane 400 osób, podlegających nadzorowi kuratorskiemu i objętych wywiadem środowiskowym.

Dowiedz się więcej

Kara za zgubiony pendrive

Kara PUODO za zgubiony pendrive dla Sądu Rejonowego w Zgierzu

Kara za zgubiony pendrive

Kara za zgubiony pendrive. Dnia 13 lipca 2021r. Prezes Urzędu Ochrony Danych Osobowych wydał Decyzję w sprawie o sygn. akt.: DKN.5131.22.2021.

Dowiedz się więcej

Kary RODO w Polsce

Kary RODO w Polsce w Europie

Statystyki kar RODO w Polsce i w Europie.

Kary RODO w Polsce. Wielu z nas w codziennej pracy stara się wszelkimi sposobami wzbudzać i docierać do świadomości pracowników oraz administratorów danych osobowych. Nie ukrywajmy tego, ale jedną z metod jest uświadamianie poprzez podawanie przykładów kar nałożonych przez właściwe organy. Często konkretna decyzja dotycząca kary RODO w Polsce, czy w Europie, staje się przedmiotem naszej głębszej analizy.

Kary RODO to jedno ale są jeszcze odszkodowania.

Artykuł 82
Prawo do odszkodowania i odpowiedzialność

  1. Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.
  2. Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.
  3. Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.
  4. Jeżeli w tym samym przetwarzaniu uczestniczy więcej niż jeden administrator lub podmiot przetwarzający lub uczestniczy w nim zarówno administrator jak i podmiot przetwarzający i zgodnie z ust. 2 i 3 odpowiadają za szkodę spowodowaną przetwarzaniem, ponoszą oni odpowiedzialność solidarną za całą szkodę, tak by zapewnić osobie, której dane dotyczą, rzeczywiste uzyskanie odszkodowania.
  5. Administrator lub podmiot przetwarzający, który zgodnie z ust. 4 zapłacił odszkodowanie za całą wyrządzoną szkodę, ma prawo żądania od pozostałych administratorów lub podmiotów przetwarzających, którzy uczestniczyli w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej części szkody, za którą ponoszą odpowiedzialność, zgodnie z warunkami określonymi w ust. 2.
  6. Postępowanie sądowe dotyczące odszkodowania jest wszczynane przed sądem właściwym na mocy prawa państwa członkowskiego, o którym mowa w art. 79 ust. 2.

Ciekawe narzędzie do analityki danych w zbiorze Kary RODO

Skontaktowali się z nami twórcy serwisu PrivacyAffairs.com proponując nam współpracę, oraz przedstawiając swoje narzędzie – bezpłatne – do analizowania informacji związanych z decyzjami nakładającymi kary RODO w Europie. Dzięki ich rozwiązaniu w banalnie prosty i szybki sposób możemy wyszukać interesująca nas decyzję, posługując się odpowiednim filtrem. W naszej ocenie analiza tematu Kary RODO w Polsce stanie się teraz o wiele łatwiejsza i szybsza.

Dane pozyskane dzieki GDPR Fines Tracker & Statistics.

Możliwość wyszukiwania decyzji z użyciem filtrów.

Użytkownik ma możliwość, zupełnie bezpłatnie, wyszukania interesującej go decyzji, jak również przeanalizowania jej treści, z uwagi na to, iż prowadzi do niej bezpośredni link. Mamy także możliwość posługiwania się wyszukiwarką poprzez odpowiednie filtrowanie wiadomości po zadanej zmiennej np. kraj, wielkość kary.

Kary RODO w Polsce

Jak działa program RODO Sender

Program do automatycznego szyfrowania załączników email oraz wysyłania hasła odrębnym kanałem za pomocą SMS do odbiorcy wiadomości.

Kara RODO dla szkoły za odciski palca uczniów

Kara RODO dla szkoły

Kara RODO dla szkoły za odciski palca uczniów

W komunikacie UODO z dnia 05 marca 2020r., czytamy cyt.: „(…) Prezes Urzędu Ochrony Danych Osobowych nałożył karę w wysokości 20 tys. zł w związku z naruszeniem polegającym na przetwarzaniu danych biometrycznych dzieci podczas korzystania przez nie ze szkolnej stołówki (…)”.

Decyzja Z 18.02.2020R. ZSZZS.440.768.2018

W treści decyzji czytamy cyt.: „(…) Prezes Urzędu Ochrony Danych Osobowych (…) stwierdzając naruszenie przez Szkołę Podstawową w Gdańsku (…) polegające na przetwarzaniu danych biometrycznych dzieci podczas korzystania przez nie z usług stołówki szkolnej:

  1. nakazuje Szkole Podstawowej w Gdańsku usunięcie danych osobowych w zakresie przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci korzystających z usług stołówki szkolnej,
  2. nakazuje Szkole Podstawowej w Gdańsku zaprzestanie zbierania danych osobowych w zakresie przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci korzystających z usług stołówki szkolnej,
  3. nakłada na Szkołę Podstawową w Gdańsku, za naruszenie stwierdzone w niniejszej decyzji karę pieniężną w wysokości 20 000,00 zł (słownie: dwadzieścia tysięcy złotych) (…)”.

Brak podstawy prawnej do przetwarzania danych.

Szkoła przetwarzała dane szczególnych kategorii (dane biometryczne) 680 dzieci bez podstawy prawnej, mogąc jednocześnie zastosować inne formy identyfikacji uczniów. Szkoła korzystała z czytnika biometrycznego przy wejściu do stołówki szkolnej, którego zadaniem było identyfikowanie dzieci w celu weryfikacji tego, czy uiszczona została opłaty za posiłek.

Pierwszeństwo dla zidentyfikowanych.

W komunikacie PUODO wskazuje, iż cyt.: „(…) w ukaranej Szkole Podstawowej, zgodnie z zasadami wydawania obiadów, umieszczonymi na stronie internetowej stołówki prowadzonej przez Szkołę, uczniowie, którzy nie posiadają identyfikacji biometrycznej, przepuszczają wszystkich i oczekują na końcu kolejki. Gdy wszyscy uczniowie z identyfikacją biometryczną wejdą do stołówki, rozpoczyna się wpuszczanie pojedynczo uczniów bez identyfikacji biometrycznej. Tego typu zasady zdaniem Prezesa UODO wprowadzają nierówne traktowanie uczniów i ich bezpodstawne zróżnicowanie, ponieważ wyraźnie promują uczniów posiadających identyfikację biometryczną. Ponadto w ocenie organu wykorzystywanie danych biometrycznych w zestawieniu z celem, w jakim są one przetwarzane, jest w istotny sposób nieproporcjonalne (…)”.

Wyciąg z treści Decyzji PUODO

Posługujemy się definicją z Rozporządzenia RODO

cyt.: „(…) zgodnie z art. 4 pkt 14 RODO dane biometryczne oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne (…)”.

Identyfikacja osoby w oparciu o dane biometryczne wg. definicji RODO

cyt.: „(…) w wyniku zestawienia wzorca biometrycznego zarejestrowanego na urządzeniu z palcem dziecka przyłożonym do czytnika biometrycznego, a także pozostałymi informacjami (m.in. numerem pozycji, imieniem, nazwiskiem, klasą oraz uprawnieniem do odebrania obiadu) możliwa jest bowiem jego identyfikacja.(…)”.

Wyścigi podstaw do przetwarzania wygrywa 6.1.e RODO

cyt.: „(…) Zgodnie z art. 106 ustawy z dnia 14 grudnia 2016 r. Prawo oświatowe (Dz. U. z 2019 r., poz. 1148) w celu zapewnienia prawidłowej realizacji zadań opiekuńczych, w szczególności wspierania prawidłowego rozwoju uczniów, szkoła może zorganizować stołówkę. W związku z tym stwierdzić należy, że podstawą przetwarzania jakichkolwiek danych osobowych dzieci w związku z realizacją tego zadania szkoły nie mogła być zgoda, ponieważ podstawą do przetwarzania danych osobowych dzieci w tym celu przez Szkołę jest art. 6 ust. 1 lit. e RODO, zgodnie z którym przetwarzanie jest zgodne z prawem między innymi gdy przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Oznacza to, że Szkoła przetwarza dane osobowe ucznia na podstawie przepisów prawa, wykonując swoje ustawowe zadania. Nie potrzebuje zatem odrębnej zgody rodziców bądź pełnoletniego ucznia na przetwarzanie danych osobowych w związku z realizacją tych zadań, tj. świadczeniem usług przez stołówkę szkolną. Realizując te usługę Szkoła może przetwarzać tylko te dane osobowe ucznia, które są niezbędne do świadczenia usług stołówki szkolnej. Wskazać należy, że przepisy prawa powszechnie obowiązującego wskazują rodzaj danych jakie Szkoła może pozyskiwać od swoich uczniów. Żaden z nich nie zezwala Szkole na przetwarzanie (pozyskiwanie i gromadzenie) danych biometrycznych (których przetwarzanie jest co do zasady zakazane w art. 9 ust. 1 RODO) uczniów w celu realizacji tego zadania.(…)”.

Dla zainteresowanych.

Zainteresowanych tematem daktyloskopii, odsyłam do interesującego opracowania pt. „Identyfikacja użytkownika na podstawie analizy linii papilarnych„. Autor opracowania podnosi, iż cyt.: „(…) system biometryczny popełnia dwa rodzaje błędów. Pierwszy polega na uznaniu za identyczne dwóch odcisków, które w rzeczywistości pochodzą z różnych palców. Jest to tzw. fałszywe dopasowanie. Drugi rodzaj błędu to uznanie dwóch identycznych odcisków palców za różne – tzw. fałszywe niedopasowanie (…)”.

Raz jeszcze o definicji na gruncie Rozporządzenia RODO

Uwaga pierwsza

Po lekturze ww opracowania, wskazuję raz jeszcze i podkreślam,  na gruncie analizowanej Decyzji PUODO pamiętać należy o autonomicznej definicji danych biometrycznych, jaką wprowadza art. 4 pkt 14) Rozporządzenia RODO, gdzie to „dane biometryczne” oznaczają

  • (1) dane osobowe, które wynikają ze specjalnego przetwarzania technicznego,
  • (2) dotyczą cech
    • fizycznych,
    • fizjologicznych
    • lub behawioralnych osoby fizycznej
  • (3) które
    • umożliwiają
    • lub potwierdzają jednoznaczną identyfikację tej osoby,
  • (np.) takie jak wizerunek twarzy lub dane daktyloskopijne (patrz Uwaga druga)

(1) + (2) + (3) = dane biometryczne.

Uwaga druga

Uwaga druga, aby uznać iż mamy do czynienia z danymi biometrycznymi, w rozumieniu ww. definicji na gruncie Rozporządzenia RODO, nie wystarczy, aby przetwarzać dane w postaci wizerunku twarzy (fotografia). Motyw 51 stanowi bowiem, iż cyt.: „(…) przetwarzanie fotografii nie powinno zawsze stanowić przetwarzania szczególnych kategorii danych osobowych, gdyż fotografie są objęte definicją „danych biometrycznych” tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości (…)”.

Definicja danych biometrycznych

Lorem ipsum dolor sit amet, consectetur adipisciZa sprawą Decyzji PUODO z dnia18 lutego 2020r., ZSZZS.440.768.2018, na mocy której PUODO nałożył na szkołę karę pieniężną w związku z naruszeniem polegającym na przetwarzaniu danych biometrycznych dzieci podczas korzystania przez nie ze szkolnej stołówki wywołana została dyskusja nt. definicji danych biometrycznych. Czym są dane biometryczne w rozumieniu RODO? Czy dane daktyloskopijne to to samo co dane biometryczne? Czytaj więcej >>>

Procedura wewnętrzna bezpieczeństwa na terenie placówki.<br>Procedura postępowania w przypadku podejrzenia zakażenia COVID-19.

5/5

99,00 pln

Praktyczne aspekty ochrony danych osobowych w placówkach oświatowych.
30 marca 2020 r.
Częstochowa

5/5

499,00 pln

Materiały szkoleniowe z warsztatów – Praktyczne aspekty ochrony danych osobowych w placówkach oświatowych. Zestaw gotowych dokumentów do wykorzystania w pracy.

5/5

200,00 pln

Regulamin monitoringu wizyjnego dla szkoły. Kompletne opracowanie wraz z klauzulą i infografiką.

5/5

150,00 pln

Wzór oświadczenia woli o upoważnieniu do odbioru dziecka z przedszkola, ze świetlicy szkolnej.

5/5

29,00 pln

Kary RODO w Polsce

Kary RODO w Polsce

Kary RODO w Polsce

Usystematyzowane i ułożone według kolejności decyzje nakładające kary RODO w Polsce. Sygnatury akt spraw odwoławczych. Informacje i doniesienia prasowe w temacie. Wszystko zebrane w jednym miejscu. Dla zainteresowanych wszystkie decyzje Urzędu Ochrony Danych Osobowych.

Bisnode

Decyzja UODO

WSA

Informacja medialna

Decyzja UODO z dnia 15 marca 2019r. ZSPR.421.3.2018.
Informacja prasowa UODO.

 

Sąd przyznał rację Prezesowi UODO. Wysokość nałożonej kary administracyjnej do ponownej analizy. Informacja prasowa UODO.

Dolnośląski Związek Piłki Nożnej

Decyzja UODO

WSA

Informacja medialna

Decyzja UODO z dnia 25 kwietnia 2019r. ZSPR.440.43.2019. Informacja prasowa UODO.

 

WSA w Warszawie potwierdził zasadność kary nałożonej na Dolnośląski Związek Piłki Nożnej. Informacja prasowa UODO.

ClickQuickNow Sp. z o.o.

Decyzja UODO

WSA

Informacja medialna

Decyzja UODO z dnia 16 października 2019r. ZSPR.421.7.2019.
Informacja prasowa UODO.

Morele.net Sp. z o. o.

Decyzja UODO

WSA

Informacja medialna

Decyzja UODO z dnia 16 października 2019r. ZSPR.421.2.2019.
Informacja prasowa UODO.

Kary RODO w medycynie

Proste to RODO - Rozporządzenie RODO

Kary RODO w medycynie i nie tylko.

Pytania, które powinien sobie zadać każdy, kto zarządza jednostką medyczną

    • Czy masz świadomość tego, ile podmiotów zostało ukaranych z RODO od początku obowiązywania przepisów?
    • Czy wiesz jaka jest wartość kar RODO nałożónych od początku obowiązywania Rozporządzenia?
    • Jaki jest roczny budżet jednostki, jaką zarządzasz, który przeznaczany jest na jej funkcjonowanie?

Rozporządzenie RODO

Artykuł 82
Prawo do odszkodowania i odpowiedzialność

1.   Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

2.   Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.

3.   Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.

4.   Jeżeli w tym samym przetwarzaniu uczestniczy więcej niż jeden administrator lub podmiot przetwarzający lub uczestniczy w nim zarówno administrator jak i podmiot przetwarzający i zgodnie z ust. 2 i 3 odpowiadają za szkodę spowodowaną przetwarzaniem, ponoszą oni odpowiedzialność solidarną za całą szkodę, tak by zapewnić osobie, której dane dotyczą, rzeczywiste uzyskanie odszkodowania.

5.   Administrator lub podmiot przetwarzający, który zgodnie z ust. 4 zapłacił odszkodowanie za całą wyrządzoną szkodę, ma prawo żądania od pozostałych administratorów lub podmiotów przetwarzających, którzy uczestniczyli w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej części szkody, za którą ponoszą odpowiedzialność, zgodnie z warunkami określonymi w ust. 2.

6.   Postępowanie sądowe dotyczące odszkodowania jest wszczynane przed sądem właściwym na mocy prawa państwa członkowskiego, o którym mowa w art. 79 ust. 2.

Liczba podmiotów ukaranych:

237

Wartość kar RODO:

€152,926,145

Nieprawidłowe praktyki podmiotów medycznych:

Kary RODO w medycynie stały się faktem. Co było powodem nałożenia na podmioty medyczne kar z RODO, zobacz sam. Zastanów się, czy w twojej jednostce wszystko funkcjonuje tak jak powinno.

Procedura udostępniania dokumentacji medycznej. Kompletny zestaw wzorów dokumentów i ich opis.

5/5

79,00 pln

Jak prowadzić ewidencję udostępnionej dokumentacji medycznej. Gotowa procedura.

5/5

29,00 pln

Wypełniony wzór Klauzuli Informacyjnej dla Pacjentów jednostek medycznych. Opis sposobów realizacji obowiązku.

5/5

149,00 pln

Procedura realizacji obowiązku informacyjnego w jednostce medycznej. Dokument ułatwiający określenie metod realizacji obowiązku oraz rozliczalność.​

5/5

99,00 pln

Jeśli chcesz poznać naszą pełną ofertę, pobierz listę dokumentów RODO, jakimi dysponujemy. W naszej ofercie znajdą Państwo, kompletne procedury postępowania, wzory dokumentacji RODO, wypełnione dokumenty, artykuły, opracowania dydaktyczne.

Pierwsza kara dla podmiotu publicznego

Proste to RODO - Rozporządzenie RODO

Prezes UODO nałożył pierwszą karę pieniężną na podmiot publiczny

Pierwsza kara dla podmiotu publicznego. Jednostki samorządu terytorialnego też muszą się liczyć z karą za nieprzestrzeganie RODO. Jednym z powodów nałożenia kary w wysokości 40 tys. na burmistrza miasta było to, że nie zawarł umowy powierzenia przetwarzania danych osobowych z podmiotami, którym przekazywał dane.  

Umowa powierzenia przetwarzania danych

Umowa powierzenia nie została zawarta z firmą, na której serwerach znalazły się zasoby Biuletynu Informacji Publicznej (BIP) Urzędu Miejskiego w Aleksandrowie Kujawskim. Takiej umowy nie zawarto również z inną firmą, która dostarczała oprogramowanie do stworzenia BIP i zajmowała się obsługą serwisową w tym zakresie. Prezes UODO uznał więc, że doszło do naruszenia art. 28 ust. 3 RODO. Przepis ten zobowiązuje administratora, w imieniu którego przetwarzania danych osobowych dokonuje inny podmiot, do zawarcia z nim umowy powierzenia. W konsekwencji braku takiej umowy burmistrz dopuścił się udostępnienia danych osobowych bez podstawy prawnej, czym naruszył określone w RODO: zasadę przetwarzania danych zgodnie z prawem (art. 5 ust. 1 lit. a) oraz zasadę poufności (art. 5 ust. 1 lit. f).

Przeglady danych

To jednak nie jedyne naruszenia, jakie stwierdzono w toku postępowania kontrolnego prowadzonego przez Prezesa UODO. Ustalono także, że brak było procedur wewnętrznych dotyczących przeglądu zasobów dostępnych w BIP pod kątem ustalenia okresu ich publikowania. To spowodowało, że przykładowo w BIP były dostępne m.in. oświadczenia majątkowe z 2010 roku, podczas gdy okres ich przechowywania wynosi 6 lat, co wynika z przepisów sektorowych. W przypadku danych, których okresu przechowywania nie reguluje prawo, administrator powinien sam go ustalić adekwatnie do celów, w jakich je przetwarza. Administrator naruszył więc zasadę ograniczonego przechowywania, określoną w art. 5 ust. 1 lit. e RODO.

W czasie postępowania ustalono również, że zarejestrowane materiały z posiedzeń rady miejskiej były dostępne w BIP jedynie poprzez zamieszczenie linka do dedykowanego kanału na YouTube. W Urzędzie Miejskim nie było kopii zapasowych tych nagrań. Przez to w przypadku utraty danych zapisanych w serwisie YouTube administrator nie dysponowałby tymi nagraniami. Nie przeprowadzono również analizy ryzyka związanej z publikacją nagrań z posiedzeń rady wyłącznie w serwisie YouTube. Doszło więc do naruszenia zasady integralności i poufności (art. 5 ust. 1 lit. f) oraz zasady rozliczalności (art. 5 ust. 2).

Zasada rozliczalności została naruszona również w związku z brakami w rejestrze czynności przetwarzania. Nie było w nim np. wskazanych wszystkich odbiorców danych, a także brakowało wskazania planowanego terminu usunięcia danych dla niektórych czynności przetwarzania.

Prezes UODO, nakładając karę, wziął pod uwagę to, że pomimo stwierdzonych w toku postępowania nieprawidłowości, nie zostały one usunięte przez administratora, ani nie wdrożył on rozwiązań mających przeciwdziałać naruszeniom w przyszłości. Administrator nie współpracował również z organem nadzoru. Dlatego Prezes UODO uznał, że nie zachodziły przesłanki, które mogłyby złagodzić wysokość kary.

Oprócz kary pieniężnej Prezes Urzędu nakazał również administratorowi podjęcie działań mających na celu usunięcie stwierdzonych naruszeń w ciągu 60 dni.

Analiza ryzyka

W czasie postępowania ustalono również, że zarejestrowane materiały z posiedzeń rady miejskiej były dostępne w BIP jedynie poprzez zamieszczenie linka do dedykowanego kanału na YouTube. W Urzędzie Miejskim nie było kopii zapasowych tych nagrań. Przez to w przypadku utraty danych zapisanych w serwisie YouTube administrator nie dysponowałby tymi nagraniami. Nie przeprowadzono również analizy ryzyka związanej z publikacją nagrań z posiedzeń rady wyłącznie w serwisie YouTube. Doszło więc do naruszenia zasady integralności i poufności (art. 5 ust. 1 lit. f) oraz zasady rozliczalności (art. 5 ust. 2).

RCPD

Zasada rozliczalności została naruszona również w związku z brakami w rejestrze czynności przetwarzania. Nie było w nim np. wskazanych wszystkich odbiorców danych, a także brakowało wskazania planowanego terminu usunięcia danych dla niektórych czynności przetwarzania.

Współpraca z PUODO

Prezes UODO, nakładając karę, wziął pod uwagę to, że pomimo stwierdzonych w toku postępowania nieprawidłowości, nie zostały one usunięte przez administratora, ani nie wdrożył on rozwiązań mających przeciwdziałać naruszeniom w przyszłości. Administrator nie współpracował również z organem nadzoru. Dlatego Prezes UODO uznał, że nie zachodziły przesłanki, które mogłyby złagodzić wysokość kary.

Oprócz kary pieniężnej Prezes Urzędu nakazał również administratorowi podjęcie działań mających na celu usunięcie stwierdzonych naruszeń w ciągu 60 dni.

Decyzja PUODO z 18.10.2109 [ZSPU.421.3.2019]

Źródło informacji: www.uodo.gov.pl

Bezpłatna konsultacja telefoniczna

Zapraszamy do kontaktu z nami. W ramach bezpłatnej konsultacji telefonicznej postaramy się określić, w jaki sposób jesteśmy w stanie Państwu pomóc. Tel. +48 694 494 240