Obowiązek informacyjny rodo

KOMPAS FORSAFE 2023/22

Kraj:

Polska

Data wydania decyzji:

08.02.2023 r.

Podmiot kontrolowany:

Pani K. P. prowadząca działalność gospodarczą

Wysokość kary (EUR):

7.200

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1, art. 28 ust. 1, 3, art. 32 ust. 1, 2 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Naruszenie ochrony danych osobowych wynikało z niewdrożenia odpowiednich środków technicznych i organizacyjnych przez administratora danych oraz podmiot przetwarzający. Brakowało weryfikacji podmiotu przetwarzającego oraz odpowiednich zabezpieczeń, co skutkowało utratą poufności danych osobowych.

 

Opis wydarzeń

  1. Zgłoszenie naruszenia: W grudniu 2020 roku zgłoszono naruszenie ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych (UODO). Naruszenie polegało na utracie poufności danych osobowych około 800 osób w wyniku działania wirusa komputerowego.
  2. Dalsze ustalenia: W trakcie postępowania ustalono, że dane osobowe były publicznie dostępne na serwerze administratora, co obejmowało m.in. wyniki badań onkologicznych, kopie umów i polis ubezpieczeniowych oraz inne dokumenty zawierające dane osobowe.
  3. Działania podjęte po naruszeniu: Po stwierdzeniu naruszenia, podjęto działania mające na celu zabezpieczenie danych, w tym blokadę dostępu do upublicznionych plików oraz przeprowadzenie audytu bezpieczeństwa IT.
  4. Kara: 33 012 PLN.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Wdrożenie odpowiednich środków technicznych i organizacyjnych: Zaleca się wdrożenie środków zapewniających bezpieczeństwo danych osobowych, takich jak szyfrowanie danych, regularne testowanie systemów oraz weryfikacja podmiotów przetwarzających.
  2. Regularne audyty i kontrole: Należy przeprowadzać regularne audyty i kontrole w celu weryfikacji zgodności przetwarzania danych z przepisami oraz skuteczności wdrożonych środków bezpieczeństwa.
  3. Szkolenia dla pracowników: Zaleca się organizowanie szkoleń dla pracowników w zakresie ochrony danych osobowych oraz procedur postępowania w przypadku naruszenia bezpieczeństwa danych.
  4. Aktualizacja umów z podmiotami przetwarzającymi: Umowy z podmiotami przetwarzającymi powinny zawierać szczegółowe zapisy dotyczące obowiązków w zakresie ochrony danych osobowych oraz procedur postępowania w przypadku naruszenia.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO