Obowiązek informacyjny rodo

KOMPAS FORSAFE 2024/36

Kraj:

Hiszpania

Data wydania decyzji:

23.01.2024 r.

Podmiot kontrolowany:

AFIANZA ASESORES S.L.

Wysokość kary (EUR):

145.000

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. f), art. 32 RODO.

Nieprzestrzeganie ogólnych zasad przetwarzania danych.

 

Przyczyna naruszenia

Naruszenie bezpieczeństwa danych osobowych zostało spowodowane przez kradzież plecaka, w którym znajdował się niezabezpieczony (niezaszyfrowany) pendrive zawierający dane osobowe. Kradzież miała miejsce 17 czerwca 2021 roku, a zgłoszenie naruszenia zostało przesłane do hiszpańskiego organu nadzorczego (AEPD) 30 czerwca 2021 roku.

 

Opis wydarzeń

  1. Wykrycie i zgłoszenie naruszenia:
    • Naruszenie zostało wykryte 17 czerwca 2021 roku, kiedy to pracownicy firmy AFIANZA ASESORES, S.L. zauważyli kradzież plecaka zawierającego pendrive z danymi osobowymi.
    • Zgłoszenie naruszenia zostało przesłane do AEPD 30 czerwca 2021 roku.
  2. Działania podjęte przez AEPD:
    • AEPD nakazała firmie AFIANZA niezwłoczne poinformowanie osób, których dane zostały naruszone, aby mogły podjąć odpowiednie środki ochronne.
    • Przeprowadzono dochodzenie w celu ustalenia, czy doszło do naruszenia przepisów o ochronie danych osobowych.
  3. Odpowiedź firmy AFIANZA:
    • Firma AFIANZA argumentowała, że brak dowodów na to, że dane na pendrive zostały faktycznie wykorzystane przez osoby trzecie.
    • Podkreślono, że firma wdrożyła różne środki bezpieczeństwa, jednak w momencie kradzieży nie wszystkie były skutecznie stosowane.
  4. Decyzja AEPD:
    • AEPD uznała, że doszło do naruszenia artykułów 5 ust. 1. lit. f) oraz 32 RODO, dotyczących odpowiedniego zabezpieczenia danych osobowych.
    • Nałożono na firmę AFIANZA kary finansowe w wysokości 90 000 euro za naruszenie art. 5. ust. 1. lit f) oraz 55 000 euro za naruszenie art. 32 RODO.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Wdrożenie dodatkowych środków bezpieczeństwa: Zaleca się zaszyfrowanie wszystkich urządzeń przenośnych zawierających dane osobowe, aby zapobiec nieautoryzowanemu dostępowi w przypadku ich utraty lub kradzieży.
  2. Regularne audyty bezpieczeństwa: Należy przeprowadzać regularne audyty bezpieczeństwa, aby upewnić się, że wszystkie wdrożone środki są skutecznie stosowane i aktualizowane zgodnie z najnowszymi standardami technologicznymi.
  3. Szkolenia dla pracowników: Zaleca się regularne szkolenia dla pracowników w zakresie ochrony danych osobowych i procedur bezpieczeństwa, aby zwiększyć świadomość i odpowiedzialność za ochronę danych.
  4. Szybka reakcja na incydenty: W przypadku wykrycia naruszenia, należy niezwłocznie powiadomić odpowiednie organy oraz osoby, których dane dotyczą, aby mogły podjąć odpowiednie środki ochronne.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO