Obowiązek informacyjny rodo

Niewystarczające wypełnienie obowiązków powiadamiania o naruszeniu danych

Niewystarczające wypełnienie obowiązków powiadamiania o naruszeniu danych

Naruszenie to dotyczy najczęściej art. 33 i 34 RODO

Przejrzyj kary nałożone w krajach Unii Europejskiej oraz w Polsce za to naruszenie

DataKrajOrgan nadzorczy wydający decyzjęPodmiot kontrolowanyKara (EUR)Kompas
26.03.2019PolskaPrezes Urzędu Ochrony Danych OsobowychPrywatna spółka zajmująca się dostarczaniem i analizą danych207.039 - sąd anulował karę
z powodu błędów proceduralnych
Zobacz KOMPAS
12.11.2020PolskaPrezes Urzędu Ochrony Danych OsobowychU. Sp. z o.o.
z siedzibą w G.
UPOMNIENIEZobacz KOMPAS
09.12.2020 PolskaPrezes Urzędu Ochrony Danych OsobowychTUiR WARTA S.A.18.790Zobacz KOMPAS
10.12.2020HolandiaDutch Supervisory Authority for Data Protection (AP)Booking.com B.V.475.000Zobacz KOMPAS
11.01.2021PolskaPrezes Urzędu Ochrony Danych OsobowychENEA S.A.29.953Zobacz KOMPAS
08.06.2021PolskaPrezes Urzędu Ochrony Danych OsobowychP4 Sp. z o. o.22.180Zobacz KOMPAS
21.06.2021PolskaPrezes Urzędu Ochrony Danych OsobowychSopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A.35.300Zobacz KOMPAS
14.10.2021PolskaPrezes Urzędu Ochrony Danych OsobowychBank Millennium S.A.78.000Zobacz KOMPAS
19.01.2022PolskaPrezes Urzędu Ochrony Danych OsobowychSantander Bank Polska S.A.117.000Zobacz KOMPAS
27.03.2019PolskaPrezes Urzędu Ochrony Danych OsobowychX. Sp. z o.o.NAKAZZobacz KOMPAS
06.06.2022PolskaPrezes Urzędu Ochrony Danych OsobowychEsselmann Technika Pojazdowa Sp. z o.o. Sp. k.3.500Zobacz KOMPAS
06.07.2022PolskaPrezes Urzędu Ochrony Danych OsobowychGłówny Geodeta Kraju 12.600ZOBACZ KOMPAS
06.07.2022PolskaPrezes Urzędu Ochrony Danych OsobowychUniwersyteckie Centrum Kliniczne Warszawskiego Uniwersytetu Medycznego2.124Zobacz KOMPAS
23.06.2022PolskaPrezes Urzędu Ochrony Danych OsobowychA. S.A.UPOMNIENIEZobacz KOMPAS
02.06.2022PolskaPrezes Urzędu Ochrony Danych OsobowychN. Sp. z o.o.UPOMNIENIEZobacz KOMPAS
23.01.2019rPolskaPrezes Urzędu Ochrony Danych OsobowychY. S.A.NAKAZZobacz KOMPAS
21.12.2018rPolskaPrezes Urzędu Ochrony Danych OsobowychY. S.A.NAKAZZobacz KOMPAS
03.11.2022rPolskaPrezes Urzędu Ochrony Danych OsobowychP4 Sp. z o.o.250.000Zobacz KOMPAS

Jak zapobiegać takim naruszeniom?

1. Opracuj i wdróż procedurę zgłaszania naruszeń bezpieczeństwa danych osobowych, które będą uwzględniały kwestie związane ze sprawnym i szybkim stwierdzeniem naruszenia ochrony danych.

2. Nie ignoruj informacji o potencjalnym naruszeniu ochrony danych osobowych otrzymanych od osoby fizycznej lub z innego źródła. Każdy sygnał o ewentualnych nieprawidłowościach powinien być przedmiotem wnikliwej analizy.

3. Wykonaj ocenę naruszenia ochrony danych osobowych pod kątem wystąpienia ryzyka dla praw i wolności osób fizycznych. Dokonując oceny weź pod uwagę:

  • konkretne okoliczności naruszenia, w tym wagę potencjalnego wpływu i prawdopodobieństwo jego wystąpienia,
  • czy naruszenie może prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone. Przykładami takich szkód są: utrata kontroli nad własnymi danymi osobowymi, nieuprawnione odwrócenie pseudonimizacji, dyskryminacja, kradzież lub sfałszowanie tożsamości, straty finansowe, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne,
  • liczbę osób fizycznych, na które naruszenie wywiera wpływ.

4. Ocenę ryzyka naruszenia praw lub wolności osoby fizycznej dokonaj przez pryzmat osoby dotkniętej naruszeniem, a nie interesów Administratora.

5. Gdy ocenisz, że naruszenie ochrony danych osobowych może powodować ryzyko dla naruszenia praw lub wolności osób fizycznych, dokonaj zgłoszenia naruszenia ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych. Na zgłoszenie masz 72 godziny od momentu stwierdzenia naruszenia.

6. Jeśli masz wątpliwości co do oceny ryzyka dla naruszenia praw lub wolności osób fizycznych, dokonaj zgłoszenia naruszenia bezpieczeństwa danych osobowych, nawet jeśli taka ostrożność mogłaby się okazać nadmierna.

7. Gdy ocenisz, że naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, dokonaj zawiadomienia osób fizycznych, których dane dotyczą, o zaistniałym naruszeniu. Zawiadomienia należy wykonać bez zbędnej zwłoki.

8. Pamiętaj, że obowiązek zawiadomienia osoby fizycznej o naruszeniu nie jest uzależniony od materializacji negatywnych konsekwencji dla takiej osoby, ale od samej możliwości wystąpienia takiego ryzyka.

9. Nie wykonuj oceny naruszenia ochrony danych osobowych w sposób schematyczny, gdyż każda ocena jest inna i należy do niej podchodzić indywidualnie.

10. Nie wykonuj oceny naruszenia ochrony danych osobowych w sposób schematyczny, gdyż każda ocena jest inna i należy do niej podchodzić indywidualnie.

11. Realizuj szkolenia dla osób zaangażowanych w przetwarzanie danych osobowych z tematyki cyberbezpieczeństwa, w tym ataków socjotechnicznych oraz metod obrony przed nimi.

12. Nie stosuj jednego hasła do logowania w różnych miejscach. Tam, gdzie jest to możliwe wykorzystuj weryfikację wieloskładnikową.

13. Wykonaj analizę ryzyka, gdy w związku z naruszeniem ochrony danych osobowych zostanie ujawnione ryzyko nie rozpatrywane we wcześniejszej analizie.

WRÓĆ DO KOMPASU FORSAFE