Obowiązek informacyjny rodo

Niewystarczające środki techniczne i organizacyjne

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji

Naruszenie to dotyczy najczęściej art. 5 ust. 1 lit. f), art. 5 ust. 2 oraz art. 32 ust. 1 i 2 RODO

Przejrzyj kary nałożone w krajach Unii Europejskiej oraz w Polsce za to naruszenie

DataKrajOrgan nadzorczy wydający decyzjęPodmiot kontrolowanyKara (EUR)Kompas
08.07.2019Wielka BrytaniaInformation Commissioner (ICO)British Airways23.050.000Zobacz KOMPAS
09.07.2019Wielka BrytaniaInformation Commissioner (ICO)Marriott International, Inc.21.206.000Zobacz KOMPAS
28.08.2019BułgariaData Protection Commision of Bulgaria
(KZLD)
National Revenue Agency2.600.000Zobacz KOMPAS
10.09.2019PolskaPrezes Urzędu Ochrony Danych OsobowychMorele.net621.117,50Zobacz KOMPAS
18.10.2019PolskaPrezes Urzędu Ochrony Danych OsobowychBurmistrz Aleksandrowa Kujawskiego8.792Zobacz KOMPAS
31.10.2019HolandiaDutch Supervisory Authority for Data Protection (AP)UWV900.000Zobacz KOMPAS
30.06.2020NiemcyData Protection Authority of Baden-WuerttembergAOK Baden-Württemberg1.240.000Zobacz KOMPAS
08.09.2020PolskaPrezes Urzędu Ochrony Danych OsobowychSzkoła Główna Gospodarstwa Wiejskiego
w Warszawie
10.972Zobacz KOMPAS
11.11.2020 NiemcyThe Federal Commissioner for Data Protection
and Freedom of Information (BfDI)
1&1 Telecom GmbH900.000Zobacz KOMPAS
13.11.2020Wielka BrytaniaInformation Commissioner (ICO)Ticketmaster UK Limited1.440.625Zobacz KOMPAS
03.12.2020SzwecjaData Protection Authority of Sweden
(Datainspektionen)
Capio St. Göran AB2.900.000Zobacz KOMPAS
03.12.2020SzwecjaData Protection Authority of Sweden
(Datainspektionen)
Aleris Sjukvård AB1.463.000Zobacz KOMPAS
03.12.2020SzwecjaData Protection Authority of Sweden
(Datainspektionen)
Aleris Närsjukvård AB1.168.000Zobacz KOMPAS
14.12.2020PolskaPrezes Urzędu Ochrony Danych OsobowychVirgin Mobile Polska Sp. z o.o43.1981,50Zobacz KOMPAS
17.12.2020PolskaPrezes Urzędu Ochrony Danych OsobowychID Finance Poland Sp. z o.o. w likwidacji234.772,50Zobacz KOMPAS
11.01.2021 PolskaPrezes Urzędu Ochrony Danych OsobowychU. S.A.UpomnienieZobacz KOMPAS
11.02.2021 PolskaPrezes Urzędu Ochrony Danych OsobowychKrajowa Szkoła Sądownictwa
i Prokuratury z siedzibą w Krakowie
21.944Zobacz KOMPAS
22.04.2021PolskaPrezes Urzędu Ochrony Danych OsobowychCyfrowy Polsat S.A.245.000Zobacz KOMPAS
13.07.2021PolskaPrezes Urzędu Ochrony Danych OsobowychPrezes Sądu Rejonowego w Zgierzu2.191Zobacz KOMPAS
25.11.2021Wielka BrytaniaInformation Commissioner (ICO)Cabinet Office585.000Zobacz KOMPAS
09.12.2021PolskaPrezes Urzędu Ochrony Danych OsobowychPolitechnika Warszawska10.000Zobacz KOMPAS
27.01.2022GrecjaHellenic Data Protection Authority (HDPA)Cosmote Mobile Telecommunications S.A.5.850.000Zobacz KOMPAS
27.01.2022GrecjaHellenic Data Protection Authority (HDPA)OTE Group3.250.000Zobacz KOMPAS
19.01.2022PolskaPrezes Urzędu Ochrony Danych OsobowychFortum Marketing and Sales Polska S.A.1.080.000Zobacz KOMPAS
19.01.2022PolskaPrezes Urzędu Ochrony Danych OsobowychPIKA Sp. z o.o.55.000Zobacz KOMPAS
24.02.2022HolandiaDutch Supervisory Authority for Data Protection (AP)Dutch Foreign Ministry565.000Zobacz KOMPAS
15.04.2022FrancjaFrench Data Protection Authority (CNIL)DEDALUS BIOLOGIE
1.500.000Zobacz KOMPAS
15.03.2021HiszpaniaSpanish Data Protection Authority (AEPD)Air Europa Lineas Aereas, SA.600.000Zobacz KOMPAS
11.02.2021HolandiaDutch Supervisory Authority for Data Protection (AP)OLVG440.000Zobacz KOMPAS
18.10.2021NorwegiaNorwegian Supervisory Authority (Datatilsynet)Østre Toten Municipality412.000ZOBACZ KOMPAS
23.06.2022PolskaPrezes Urzędu Ochrony Danych OsobowychPrezydent Miasta O.Upomnienie Zobacz KOMPAS
12.11.2021HolandiaDutch Supervisory Authority for Data Protection (AP)Transavia Airlines CV400.000 Zobacz KOMPAS
14.06.2022PolskaPrezes Urzędu Ochrony Danych OsobowychPani K.Z. prowadząca działalność gospodarcząUPOMNIENIE Zobacz KOMPAS
01.06.2022PolskaPrezes Urzędu Ochrony Danych OsobowychMiejski Ośrodek Pomocy Społecznej w O.UPOMNIENIE Zobacz KOMPAS
13.09.2022FrancjaFrench Data Protection Authority (CNIL)GIE INFOGREFFE250.000 Zobacz KOMPAS
05.04.2022IralndiaData Protection Authority of IrelandBank of Ireland463.000 Zobacz KOMPAS
19.10.2022Wielka BrytaniaInformation Commissioner (ICO)Interserve Group Limited
Wysokość
5033.000 Zobacz KOMPAS
02.11.2022PolskaPrezes Urzędu Ochrony Danych OsobowychWójt Gminy Dobrzyniewo
Duże
8.000 Zobacz KOMPAS

Jak zapobiegać takim naruszeniom?

1. Zapewnij ochronę danych osobowych na płaszczyźnie nie tylko formalnej (dokumentacja), ale i praktycznej.

2. Swoje działania opieraj na podejściu proaktywnym i prewencyjnym polegającym na zapewnianiu bezpieczeństwa danym osobowym na każdym etapie ich przetwarzania.

3. Dokonując wyboru odpowiednich środków technicznych i organizacyjnych pamiętaj, że jest to proces dwuetapowy. W pierwszej kolejności ważne jest, aby określić poziom ryzyka, jaki wiąże się z przetwarzaniem danych osobowych. Dopiero po wykonaniu tej czynności możemy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.

4. Dokonaj wdrożenia środków technicznych i organizacyjnych w aplikacjach i programach zapewniających realizację zasady „rozliczalności”, a także zasady integralności i poufności danych osobowych.

5. Dokonuj regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach teleinformatycznych.

6. Dokonaj wdrożenia procedur organizacyjnych takich, jak: mapowanie procesów, przypisywanie odpowiedzialności za poszczególne procesy, szkolenia pracowników własnych oraz pracowników podmiotów przetwarzających.

7. Wykonuj cyklicznie audyty wewnętrzne lub zewnętrzne, które będą opierały się na kompletnych i rzetelnych informacjach.

8. Wykonuj cyklicznie analizę ryzyka dla systemów informatycznych i aplikacji, w których przetwarzasz dane osobowe. W analizie ryzyka uwzględnij charakterystykę zachodzących procesów, aktywa, podatności, zagrożenia oraz istniejące zabezpieczenia, w ramach zachodzących procesów przetwarzania danych osobowych.

9. Przeprowadzaj testy nastawione na weryfikację zabezpieczeń programów i aplikacji, w tym testy podatności/penetracyjne.

10. Wykonuj cyklicznie analizę ryzyka dla systemów informatycznych i aplikacji, w których przetwarzasz dane osobowe.

11. Wykonując analizę ryzyka i identyfikując zagrożenia uwzględnij: zakres przetwarzanych danych, liczbę użytkowników aplikacji, charakter ich uprawnień, uwarunkowania środowiska informatycznego, w którym aplikacja funkcjonuje, możliwości wpływu osób trzecich, które w sposób nieuprawniony uzyskują dostęp do aplikacji.

12. Wykonując analizę ryzyka potencjalnego ataku uwzględnij: metody socjotechniczne, stan wiedzy technicznej, fizyczne aspekty bezpieczeństwa, w tym bezpieczeństwa teleinformatycznego, analizę atakującego z punktu widzenia osoby nieznającej organizacji administratora oraz jej infrastruktury informatycznej, jak również osoby, która wiedzę tę posiada.

13. Dokonaj wdrożenia procedur i systemu powiadamiania o zdarzeniach niepożądanych, w tym monitorowania ruchu sieciowego.

14. Dokonaj wdrożenia mechanizmu dwuetapowego uwierzytelniania w aplikacjach i programach dostępnych z poziomu Internetu, w których przetwarzane są dane osobowe.

15. Weryfikuj programy i aplikacje w zakresie rejestrowania eksportu danych oraz zakresu eksportowanych danych.

16. Wykonuj kopie zapasowe na potrzeby zachowania ciągłości działania systemów informatycznych i utrzymania integralności danych.

17. Do przetwarzania danych osobowych wykorzystuj oprogramowanie posiadające aktualne wsparcie techniczne producenta.

18. Podpisuj umowę powierzenia przetwarzania danych osobowych z podmiotami zewnętrznymi, które będą pracować na danych osobowych w Twoim imieniu.

19. Dokonaj wdrożenia procedur określających zasady pracy na danych osobowych przez podmioty zewnętrzne działające w imieniu Administratora.

20. Zapewnij kontrolę nad działaniami marketingowymi i sprzedażowymi realizowanymi przez podmioty zewnętrzne w imieniu Administratora

21. Kontroluj podmioty przetwarzające m.in. w zakresie wdrożonych środków organizacyjnych i technicznych zapewniających bezpieczeństwo danych.

22. Zapewnij kontrolę łańcucha dostawców usług w zakresie ochrony danych osobowych.

WRÓĆ DO KOMPASU FORSAFE