Obowiązek informacyjny rodo

KOMPAS FORSAFE 2023/17

Kraj:

Polska

Data wydania decyzji:

07.02.2023 r.

Podmiot kontrolowany:

Wspólnota Mieszkaniowa w S.

Wysokość kary (EUR):

321

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. a), art. 28 ust. 1, 3, 9, art. 33 ust. 1, art. 34 ust. 1, 2 RODO.

Niewystarczające wypełnienie obowiązków powiadamiania o naruszeniu danych.

 

Przyczyna naruszenia

Naruszenie ochrony danych osobowych przez Wspólnotę Mieszkaniową w S. wynikało z kilku kluczowych zaniedbań:

  1. Brak umowy powierzenia przetwarzania danych: Dane osobowe członków Wspólnoty były przetwarzane przez Zarządcę bez formalnej umowy powierzenia przetwarzania danych.
  2. Niewystarczająca weryfikacja: Nie przeprowadzono weryfikacji, czy Zarządca zapewnia odpowiednie środki techniczne i organizacyjne do ochrony danych.
  3. Niezgłoszenie naruszenia: Naruszenie ochrony danych osobowych nie zostało zgłoszone Prezesowi Urzędu Ochrony Danych Osobowych (UODO) w wymaganym terminie 72 godzin.
  4. Brak zawiadomienia osób: Osoby, których dane zostały naruszone, nie zostały poinformowane o incydencie.

 

Opis wydarzeń

  1. Październik 2020: Do UODO wpłynęło anonimowe zgłoszenie dotyczące możliwości naruszenia ochrony danych osobowych przez Wspólnotę Mieszkaniową w S.
  2. Listopad 2020: UODO zwrócił się do Wspólnoty o wyjaśnienia. Zarządca potwierdził, że doszło do kradzieży dokumentacji zawierającej dane osobowe członków Wspólnoty.
  3. Luty 2020: Kradzież dokumentacji została zgłoszona na Policję, a sprawą zajęła się Prokuratura.
  4. Listopad 2020 – Lipiec 2021: UODO wielokrotnie wzywał Wspólnotę do udzielenia wyjaśnień i przeprowadzenia analizy ryzyka naruszenia praw lub wolności osób fizycznych.
  5. Lipiec 2021: Wspólnota poinformowała UODO o kradzieży dokumentów, ale nie zgłosiła naruszenia ochrony danych osobowych ani nie zawiadomiła osób, których dane dotyczą.
  6. Październik 2021: Zarządca potwierdził brak umowy powierzenia przetwarzania danych osobowych między nim a Wspólnotą.
  7. Kara: 1 556,28 PLN

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Zawarcie umowy powierzenia przetwarzania danych: Zaleca się zawarcie formalnej umowy powierzenia przetwarzania danych osobowych, zgodnie z wymogami RODO.
  2. Weryfikacja podmiotu przetwarzającego: Należy przeprowadzić weryfikację, czy podmiot przetwarzający zapewnia odpowiednie środki techniczne i organizacyjne do ochrony danych osobowych.
  3. Zgłaszanie naruszeń: W przypadku stwierdzenia naruszenia ochrony danych osobowych, należy niezwłocznie zgłosić ten fakt Prezesowi UODO, nie później niż w terminie 72 godzin.
  4. Zawiadamianie osób: Osoby, których dane dotyczą, powinny być niezwłocznie informowane o naruszeniu ochrony ich danych osobowych.
  5. Szkolenia z zakresu ochrony danych: Zaleca się przeprowadzenie szkoleń z zakresu przepisów o ochronie danych osobowych.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO