Obowiązek informacyjny rodo
| Data | Kraj | Organ nadzorczy wydający decyzję | Podmiot kontrolowany | Kara | Kompas |
|---|---|---|---|---|---|
| 08.07.2019 | Wielka Brytania | Information Commissioner (ICO) | British Airways | 23.050.000 EUR | Zobacz KOMPAS |
| 09.07.2019 | Wielka Brytania | Information Commissioner (ICO) | Marriott International, Inc. | 21.206.000 EUR | Zobacz KOMPAS |
| 28.08.2019 | Bułgaria | Data Protection Commision of Bulgaria (KZLD) | National Revenue Agency | 2.600.000 EUR | Zobacz KOMPAS |
| 10.09.2019 | Polska | Prezes Urzędu Ochrony Danych Osobowych | Morele.net | 621.117,50 EUR | Zobacz KOMPAS |
| 18.10.2019 | Polska | Prezes Urzędu Ochrony Danych Osobowych | Burmistrz Aleksandrowa Kujawskiego | 8.792 EUR | Zobacz KOMPAS |
| 31.10.2019 | Holandia | Dutch Supervisory Authority for Data Protection (AP) | UWV | 900.000 EUR | Zobacz KOMPAS |
| 30.06.2020 | Niemcy | Data Protection Authority of Baden-Wuerttemberg | AOK Baden-Württemberg | 1.240.000 EUR | Zobacz KOMPAS |
| 08.09.2020 | Polska | Prezes Urzędu Ochrony Danych Osobowych | Szkoła Główna Gospodarstwa Wiejskiego w Warszawie | 10.972 EUR | Zobacz KOMPAS |
| 11.11.2020 | Niemcy | The Federal Commissioner for Data Protection and Freedom of Information (BfDI) | 1&1 Telecom GmbH | 900.000 EUR | Zobacz KOMPAS |
| 13.11.2020 | Wielka Brytania | Information Commissioner (ICO) | Ticketmaster UK Limited | 1.440.625 EUR | Zobacz KOMPAS |
| 03.12.2020 | Szwecja | Data Protection Authority of Sweden (Datainspektionen) | Capio St. Göran AB | 2.900.000 EUR | Zobacz KOMPAS |
| 03.12.2020 | Szwecja | Data Protection Authority of Sweden (Datainspektionen) | Aleris Sjukvård AB | 1.463.000 EUR | Zobacz KOMPAS |
| 03.12.2020 | Szwecja | Data Protection Authority of Sweden (Datainspektionen) | Aleris Närsjukvård AB | 1.168.000 EUR | Zobacz KOMPAS |
| 14.12.2020 | Polska | Prezes Urzędu Ochrony Danych Osobowych | Virgin Mobile Polska Sp. z o.o | 43.1981,50 EUR | Zobacz KOMPAS |
| 17.12.2020 | Polska | Prezes Urzędu Ochrony Danych Osobowych | ID Finance Poland Sp. z o.o. w likwidacji | 234.772,50 EUR | Zobacz KOMPAS |
| 11.01.2021 | Polska | Prezes Urzędu Ochrony Danych Osobowych | U. S.A. | Upomnienie | Zobacz KOMPAS |
| 11.02.2021 | Polska | Prezes Urzędu Ochrony Danych Osobowych | Krajowa Szkoła Sądownictwa i Prokuratury z siedzibą w Krakowie | 21.944 EUR | Zobacz KOMPAS |
| 22.04.2021 | Polska | Prezes Urzędu Ochrony Danych Osobowych | Cyfrowy Polsat S.A. | 245.000 EUR | Zobacz KOMPAS |
| 13.07.2021 | Polska | Prezes Urzędu Ochrony Danych Osobowych | Prezes Sądu Rejonowego w Zgierzu | 2.191 EUR | Zobacz KOMPAS |
| 25.11.2021 | Wielka Brytania | Information Commissioner (ICO) | Cabinet Office | 585.000 EUR | Zobacz KOMPAS |
| 09.12.2021 | Polska | Prezes Urzędu Ochrony Danych Osobowych | Politechnika Warszawska | 10.000 EUR | Zobacz KOMPAS |
1. Zapewnij ochronę danych osobowych na płaszczyźnie nie tylko formalnej (dokumentacja), ale i praktycznej.
2. Swoje działania opieraj na podejściu proaktywnym i prewencyjnym polegającym na zapewnianiu bezpieczeństwa danym osobowym na każdym etapie ich przetwarzania.
3. Dokonując wyboru odpowiednich środków technicznych i organizacyjnych pamiętaj, że jest to proces dwuetapowy. W pierwszej kolejności ważne jest, aby określić poziom ryzyka, jaki wiąże się z przetwarzaniem danych osobowych. Dopiero po wykonaniu tej czynności możemy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.
4. Dokonaj wdrożenia środków technicznych i organizacyjnych w aplikacjach i programach zapewniających realizację zasady „rozliczalności”, a także zasady integralności i poufności danych osobowych.
5. Dokonuj regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach teleinformatycznych.
6. Dokonaj wdrożenia procedur organizacyjnych takich, jak: mapowanie procesów, przypisywanie odpowiedzialności za poszczególne procesy, szkolenia pracowników własnych oraz pracowników podmiotów przetwarzających.
7. Wykonuj cyklicznie audyty wewnętrzne lub zewnętrzne, które będą opierały się na kompletnych i rzetelnych informacjach.
8. Wykonuj cyklicznie analizę ryzyka dla systemów informatycznych i aplikacji, w których przetwarzasz dane osobowe. W analizie ryzyka uwzględnij charakterystykę zachodzących procesów, aktywa, podatności, zagrożenia oraz istniejące zabezpieczenia, w ramach zachodzących procesów przetwarzania danych osobowych.
9. Przeprowadzaj testy nastawione na weryfikację zabezpieczeń programów i aplikacji, w tym testy podatności/penetracyjne.
10. Wykonuj cyklicznie analizę ryzyka dla systemów informatycznych i aplikacji, w których przetwarzasz dane osobowe.
11. Wykonując analizę ryzyka i identyfikując zagrożenia uwzględnij: zakres przetwarzanych danych, liczbę użytkowników aplikacji, charakter ich uprawnień, uwarunkowania środowiska informatycznego, w którym aplikacja funkcjonuje, możliwości wpływu osób trzecich, które w sposób nieuprawniony uzyskują dostęp do aplikacji.
12. Wykonując analizę ryzyka potencjalnego ataku uwzględnij: metody socjotechniczne, stan wiedzy technicznej, fizyczne aspekty bezpieczeństwa, w tym bezpieczeństwa teleinformatycznego, analizę atakującego z punktu widzenia osoby nieznającej organizacji administratora oraz jej infrastruktury informatycznej, jak również osoby, która wiedzę tę posiada.
13. Dokonaj wdrożenia procedur i systemu powiadamiania o zdarzeniach niepożądanych, w tym monitorowania ruchu sieciowego.
14. Dokonaj wdrożenia mechanizmu dwuetapowego uwierzytelniania w aplikacjach i programach dostępnych z poziomu Internetu, w których przetwarzane są dane osobowe.
15. Weryfikuj programy i aplikacje w zakresie rejestrowania eksportu danych oraz zakresu eksportowanych danych.
16. Wykonuj kopie zapasowe na potrzeby zachowania ciągłości działania systemów informatycznych i utrzymania integralności danych.
17. Do przetwarzania danych osobowych wykorzystuj oprogramowanie posiadające aktualne wsparcie techniczne producenta.
18. Podpisuj umowę powierzenia przetwarzania danych osobowych z podmiotami zewnętrznymi, które będą pracować na danych osobowych w Twoim imieniu.
19. Dokonaj wdrożenia procedur określających zasady pracy na danych osobowych przez podmioty zewnętrzne działające w imieniu Administratora.
20. Zapewnij kontrolę nad działaniami marketingowymi i sprzedażowymi realizowanymi przez podmioty zewnętrzne w imieniu Administratora
21. Kontroluj podmioty przetwarzające m.in. w zakresie wdrożonych środków organizacyjnych i technicznych zapewniających bezpieczeństwo danych.
22. Zapewnij kontrolę łańcucha dostawców usług w zakresie ochrony danych osobowych.