Obowiązek informacyjny rodo

KOMPAS FORSAFE 2022/43

Kraj:

Holandia

Data wydania decyzji:

31.05.2021 r.

Podmiot kontrolowany:

UWV

Wysokość kary (EUR):

450.000

Podstawa prawna naruszenia

Art. 32 RODO.

 

Przyczyna naruszenia

Naruszenie przepisów o ochronie danych osobowych polegało na niewystarczającym zabezpieczeniu danych osobowych przy wysyłaniu wiadomości grupowych przez UWV za pośrednictwem platformy “Mijn Werkmap”.

 

Opis wydarzeń

  1. Tło i kontekst:
    • Od sierpnia 2016 roku w UWV doszło do dziewięciu ujawnień danych osobom nieuprawnionym, które miały miejsce podczas wysyłania wiadomości grupowych do poszukujących pracy. Ujawniono dane osobowe od 10 do 11 062 osób.
    • Ujawnienie danych polegało na dołączeniu niewłaściwego pliku Excel zawierającego dane osobowe szczególnej kategorii do wiadomości grupowej.
  2. Proces i działania:
    • Holenderski organ nadzorczy (AP) rozpoczął czynności kontrolne w 2018 roku, po serii ujawnień danych, mimo że UWV twierdziło, że podjęło środki zaradcze.
    • UWV nie przeprowadziło odpowiednich analiz ryzyka ani nie wdrożyło skutecznych środków technicznych i organizacyjnych, aby zapobiec dalszym ujawnieniom danych.
    • W latach 2016-2018 UWV wysłało 61 214 wiadomości grupowych, z których każda zawierała średnio dane 215 osób.
  3. Ujawnienie danych:
    • Ujawnienie danych obejmowało różne rodzaje informacji, takie jak nazwiska, numery BSN, adresy, dane dotyczące zdrowia i inne wrażliwe informacje.
    • W sumie dane 15 331 osób zostały ujawnione w wyniku dziewięciu wysyłek wiadomości grupowych.
  4. Środki zaradcze:
    • UWV podjęło pewne środki organizacyjne, takie jak szkolenia i warsztaty, ale nie wdrożyło skutecznych środków technicznych aż do grudnia 2018 roku, kiedy to zablokowano możliwość dołączania plików Excel do wiadomości grupowych.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Analiza ryzyka: Należy regularnie przeprowadzać analizy ryzyka związane z przetwarzaniem danych osobowych, aby zidentyfikować potencjalne zagrożenia i wdrożyć odpowiednie środki zaradcze.
  2. Środki techniczne: Wdrożenie skutecznych środków technicznych, takich jak blokowanie możliwości dołączania plików do wiadomości grupowych, aby zapobiec wyciekom danych.
  3. Środki organizacyjne: Zwiększenie świadomości pracowników poprzez regularne szkolenia i warsztaty dotyczące bezpieczeństwa danych oraz wprowadzenie procedur kontrolnych, aby upewnić się, że wszystkie środki zaradcze są skutecznie wdrażane i przestrzegane.
  4. Kontrola i ewaluacja: Regularne monitorowanie i ocena skuteczności wdrożonych środków bezpieczeństwa, aby zapewnić ciągłe dostosowywanie się do zmieniających się zagrożeń i technologii.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO