Obowiązek informacyjny rodo

KOMPAS FORSAFE 2024/45

Kraj:

Polska

Data wydania decyzji:

10.10.2024 r.

Podmiot kontrolowany:

X

Wysokość kary (EUR):

3.436

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1, art. 28 ust. 1, art. 32 ust. 1, 2 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Naruszenie ochrony danych osobowych wynikło z braku wdrożenia odpowiednich środków technicznych i organizacyjnych przez X, Y oraz Z Sp. z o.o. (Podmiot Przetwarzający). Brak zabezpieczeń danych na przenośnym nośniku (pendrive) oraz niewłaściwa weryfikacja podmiotu przetwarzającego przyczyniły się do zgubienia nośnika zawierającego dane osobowe.

 

Opis wydarzeń

  1. Zgłoszenie naruszenia: 5 lutego 2021 r. zgłoszono naruszenie ochrony danych osobowych przez Y oraz X. Naruszenie polegało na zgubieniu pendrive’a przez pracownika Z sp. z o.o., który zawierał dane osobowe pracowników i współpracowników X i Y.
  2. Zakres danych: Pendrive zawierał dane osobowe 549 osób związanych z X, w tym imiona, nazwiska, imiona rodziców, daty urodzenia, numery rachunku bankowego, adresy zamieszkania lub pobytu, numery PESEL, dane dotyczące zarobków i/lub posiadanego majątku, nazwiska rodowe matki, serie i numery dowodu osobistego, numery telefonu, dane dotyczące zdrowia, a także inne dane: miejsce urodzenia, obywatelstwo, dane dotyczące ewidencji czasu pracy, informacje o szkoleniach BHP, sposób wypłaty, informacje o wynagrodzeniu, dane dotyczące ukończonych szkół, historia zatrudnienia, imiona i nazwiska dzieci oraz ich daty urodzenia. Dodatkowo wśród danych tych znajdowały się również numery NIP oraz dane zawarte w orzeczeniach o niepełnosprawności.
  3. Okoliczności zdarzenia: Pracownik Z sp. z o.o. otrzymał dane od pracowników X i Y na pendrive, który nie był zabezpieczony. Pendrive został zgubiony 14 stycznia 2021 r. podczas wsiadania do samochodu. Znalazca próbował skontaktować się z właścicielem, a następnie przekazał nośnik do Y.
  4. Działania po naruszeniu: Po zgłoszeniu naruszenia, X i Y podjęły działania mające na celu poinformowanie osób, których dane dotyczyły, oraz przeprowadzenie audytów i wprowadzenie dodatkowych środków bezpieczeństwa.
  5. Decyzja: Prezes UODO nałożył na X administracyjną karę pieniężną w wysokości 15.000 PLN.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Wdrożenie środków technicznych i organizacyjnych: Zaleca się wdrożenie odpowiednich środków technicznych i organizacyjnych, takich jak szyfrowanie danych na przenośnych nośnikach oraz regularne testowanie skuteczności tych środków.
  2. Weryfikacja podmiotów przetwarzających: Należy dokładnie weryfikować podmioty przetwarzające pod kątem ich zdolności do zapewnienia odpowiednich środków bezpieczeństwa danych osobowych.
  3. Szkolenia pracowników: Zaleca się przeprowadzenie regularnych szkoleń dla pracowników dotyczących ochrony danych osobowych oraz procedur postępowania w przypadku naruszenia.
  4. Audyt i kontrola: Regularne przeprowadzanie audytów i kontroli w celu weryfikacji zgodności z przepisami o ochronie danych osobowych oraz skuteczności wdrożonych środków bezpieczeństwa.

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO