Obowiązek informacyjny rodo

Niewystarczające środki techniczne i organizacyjne

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji

Naruszenie to dotyczy najczęściej art. 5 ust. 1 lit. f), art. 5 ust. 2 oraz art. 32 ust. 1 i 2 RODO

Przejrzyj kary nałożone w krajach Unii Europejskiej oraz w Polsce za to naruszenie

DataKrajOrgan nadzorczy wydający decyzjęPodmiot kontrolowanyKaraKompas
08.07.2019Wielka BrytaniaInformation Commissioner (ICO)British Airways23.050.000 EURZobacz KOMPAS
09.07.2019Wielka BrytaniaInformation Commissioner (ICO)Marriott International, Inc.21.206.000 EURZobacz KOMPAS
28.08.2019BułgariaData Protection Commision of Bulgaria
(KZLD)
National Revenue Agency2.600.000 EURZobacz KOMPAS
10.09.2019PolskaPrezes Urzędu Ochrony Danych OsobowychMorele.net621.117,50 EURZobacz KOMPAS
18.10.2019PolskaPrezes Urzędu Ochrony Danych OsobowychBurmistrz Aleksandrowa Kujawskiego8.792 EURZobacz KOMPAS
31.10.2019HolandiaDutch Supervisory Authority for Data Protection (AP)UWV900.000 EURZobacz KOMPAS
30.06.2020NiemcyData Protection Authority of Baden-WuerttembergAOK Baden-Württemberg1.240.000 EURZobacz KOMPAS
08.09.2020PolskaPrezes Urzędu Ochrony Danych OsobowychSzkoła Główna Gospodarstwa Wiejskiego
w Warszawie
10.972 EURZobacz KOMPAS
11.11.2020 NiemcyThe Federal Commissioner for Data Protection
and Freedom of Information (BfDI)
1&1 Telecom GmbH900.000 EURZobacz KOMPAS
13.11.2020Wielka BrytaniaInformation Commissioner (ICO)Ticketmaster UK Limited1.440.625 EURZobacz KOMPAS
03.12.2020SzwecjaData Protection Authority of Sweden
(Datainspektionen)
Capio St. Göran AB2.900.000 EURZobacz KOMPAS
03.12.2020SzwecjaData Protection Authority of Sweden
(Datainspektionen)
Aleris Sjukvård AB1.463.000 EURZobacz KOMPAS
03.12.2020SzwecjaData Protection Authority of Sweden
(Datainspektionen)
Aleris Närsjukvård AB1.168.000 EURZobacz KOMPAS
14.12.2020PolskaPrezes Urzędu Ochrony Danych OsobowychVirgin Mobile Polska Sp. z o.o43.1981,50 EURZobacz KOMPAS
17.12.2020PolskaPrezes Urzędu Ochrony Danych OsobowychID Finance Poland Sp. z o.o. w likwidacji234.772,50 EURZobacz KOMPAS
11.01.2021 PolskaPrezes Urzędu Ochrony Danych OsobowychU. S.A.UpomnienieZobacz KOMPAS
11.02.2021 PolskaPrezes Urzędu Ochrony Danych OsobowychKrajowa Szkoła Sądownictwa
i Prokuratury z siedzibą w Krakowie
21.944 EURZobacz KOMPAS
22.04.2021PolskaPrezes Urzędu Ochrony Danych OsobowychCyfrowy Polsat S.A.245.000 EURZobacz KOMPAS
13.07.2021PolskaPrezes Urzędu Ochrony Danych OsobowychPrezes Sądu Rejonowego w Zgierzu2.191 EURZobacz KOMPAS

Jak zapobiegać takim naruszeniom?

1. Zapewnij ochronę danych osobowych na płaszczyźnie nie tylko formalnej (dokumentacja), ale i praktycznej.

2. Swoje działania opieraj na podejściu proaktywnym i prewencyjnym polegającym na zapewnianiu bezpieczeństwa danym osobowym na każdym etapie ich przetwarzania.

3. Dokonując wyboru odpowiednich środków technicznych i organizacyjnych pamiętaj, że jest to proces dwuetapowy. W pierwszej kolejności ważne jest, aby określić poziom ryzyka, jaki wiąże się z przetwarzaniem danych osobowych. Dopiero po wykonaniu tej czynności możemy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.

4. Dokonaj wdrożenia środków technicznych i organizacyjnych w aplikacjach i programach zapewniających realizację zasady „rozliczalności”, a także zasady integralności i poufności danych osobowych.

5. Dokonuj regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach teleinformatycznych.

6. Dokonaj wdrożenia procedur organizacyjnych takich, jak: mapowanie procesów, przypisywanie odpowiedzialności za poszczególne procesy, szkolenia pracowników własnych oraz pracowników podmiotów przetwarzających.

7. Wykonuj cyklicznie audyty wewnętrzne lub zewnętrzne, które będą opierały się na kompletnych i rzetelnych informacjach.

8. Wykonuj cyklicznie analizę ryzyka dla systemów informatycznych i aplikacji, w których przetwarzasz dane osobowe. W analizie ryzyka uwzględnij charakterystykę zachodzących procesów, aktywa, podatności, zagrożenia oraz istniejące zabezpieczenia, w ramach zachodzących procesów przetwarzania danych osobowych.

9. Przeprowadzaj testy nastawione na weryfikację zabezpieczeń programów i aplikacji.

10. Dokonaj wdrożenia procedur i systemu powiadamiania o zdarzeniach niepożądanych, w tym monitorowania ruchu sieciowego.

11. Dokonaj wdrożenia mechanizmu dwuetapowego uwierzytelniania w aplikacjach i programach dostępnych z poziomu Internetu, w których przetwarzane są dane osobowe.

12. Weryfikuj programy i aplikacje w zakresie rejestrowania eksportu danych oraz zakresu eksportowanych danych.

13. Wykonuj kopie zapasowe na potrzeby zachowania ciągłości działania systemów informatycznych i utrzymania integralności danych.

14. Do przetwarzania danych osobowych wykorzystuj oprogramowanie posiadające aktualne wsparcie techniczne producenta.

15. Podpisuj umowę powierzenia przetwarzania danych osobowych z podmiotami zewnętrznymi, które będą pracować na danych osobowych w Twoim imieniu.

16. Dokonaj wdrożenia procedur określających zasady pracy na danych osobowych przez podmioty zewnętrzne działające w imieniu Administratora.

17. Zapewnij kontrolę nad działaniami marketingowymi i sprzedażowymi realizowanymi przez podmioty zewnętrzne w imieniu Administratora

18. Kontroluj podmioty przetwarzające m.in. w zakresie wdrożonych środków organizacyjnych i technicznych zapewniających bezpieczeństwo danych.

19. Zapewnij kontrolę łańcucha dostawców usług w zakresie ochrony danych osobowych.

WRÓĆ DO KOMPASU FORSAFE