Obowiązek informacyjny rodo

KOMPAS FORSAFE 2025/10

Kraj:

Polska

Data wydania decyzji:

06.03.2025 r.

Podmiot kontrolowany:

J. S.A. w likwidacji

Wysokość kary (EUR):

13.500

Podstawa prawna naruszenia

Art. 32 ust. 1, 2 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Podczas rutynowej kontroli Prezesa UODO stwierdzono niedopełnienie przez spółkę J. S.A. w likwidacji obowiązków administratora danych osobowych, w szczególności poprzez: brak przeprowadzenia analizy ryzyka dla operacji przetwarzania danych osobowych, niestosowanie się do wewnętrznych procedur bezpieczeństwa danych, brak wdrożenia odpowiednich środków technicznych i organizacyjnych gwarantujących ciągłość poufności, integralności i dostępności danych, brak procedur weryfikacji materiałów prasowych przed publikacją oraz szyfrowania nośników danych.

 

Opis wydarzeń

  1. Wszczęcie postępowania z urzędu: Na podstawie ustaleń kontroli przeprowadzonej przez Prezesa UODO w J. S.A. w likwidacji, wszczęto postępowanie administracyjne w związku z podejrzeniem naruszenia przepisów RODO. Kontrola dotyczyła przetwarzania danych osobowych w działalności prasowej spółki, w tym przestrzegania zasad bezpieczeństwa i zgodności z wewnętrzną dokumentacją.
  2. Brak wdrożenia wewnętrznych procedur: Stwierdzono, że opracowane przez spółkę dokumenty („Polityka bezpieczeństwa danych osobowych” i „Instrukcja zarządzania systemami IT”) nie były stosowane w praktyce. W szczególności nie przeprowadzono analizy ryzyka, nie szyfrowano nośników danych oraz nie testowano skuteczności przyjętych zabezpieczeń.
  3. Brak procedur weryfikacji materiałów prasowych: Nie istniały żadne mechanizmy ani instrukcje pozwalające na kontrolę publikowanych materiałów prasowych pod kątem ujawniania danych osobowych. Pracownicy redakcji nie posiadali wytycznych, kto i jak powinien dokonywać weryfikacji treści publikacji.
  4. Brak aktualizacji dokumentacji i testów zabezpieczeń: Dokumentacja przyjęta w 2018 r. nie była weryfikowana ani dostosowywana do zmian w działalności spółki. Nie prowadzono regularnych przeglądów środków ochrony danych ani testów ich skuteczności.
  5. Brak współpracy z UODO: Po zawiadomieniu o wszczęciu postępowania, spółka nie przedstawiła żadnego stanowiska merytorycznego i nie odniosła się do zarzutów, ograniczając się jedynie do przekazania sprawozdania finansowego.
  6. Nakaz Prezesa UODO: W decyzji nakazano spółce dostosowanie procesów przetwarzania danych do przepisów RODO w terminie 60 dni. W szczególności nakazano przeprowadzenie analizy ryzyka, wdrożenie środków zapewniających ciągłość bezpieczeństwa danych, opracowanie zasad weryfikacji materiałów prasowych oraz wprowadzenie szyfrowania nośników.
  7. Nałożona kara: Za naruszenie art. 32 ust. 1 i 2 RODO nałożono na spółkę administracyjną karę pieniężną w wysokości 56 824 zł.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Przeprowadzenie kompleksowej analizy ryzyka: Wdrożenie cyklicznych analiz ryzyka dla wszystkich procesów przetwarzania danych, z uwzględnieniem celów, zakresu oraz charakterystyki danych.
  2. Opracowanie procedur weryfikacji publikacji: Stworzenie i stosowanie jasnych instrukcji dotyczących weryfikacji materiałów prasowych przed publikacją, w tym zasad anonimizacji oraz dokumentowania zgód.
  3. Zabezpieczenie nośników danych: Wprowadzenie obowiązkowego szyfrowania urządzeń mobilnych i nośników danych, wykorzystywanych poza obszarem organizacji.
  4. Regularne testowanie i aktualizacja zabezpieczeń: Zapewnienie systematycznego testowania skuteczności środków ochrony danych oraz dostosowywania dokumentacji do zmieniających się warunków organizacyjnych i technologicznych.
  5. Aktualizacja dokumentacji ochrony danych: Zapewnienie aktualności dokumentów takich jak polityki bezpieczeństwa i instrukcje zarządzania systemami IT, zgodnie ze zmieniającymi się warunkami przetwarzania.
  6. Budowa kultury zgodności i współpracy z organem nadzorczym: Wdrożenie wewnętrznych procedur umożliwiających szybką reakcję na incydenty oraz aktywną współpracę z UODO w celu minimalizacji skutków naruszeń.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO