Co nowego w ochronie danych? Nowe kary nałożone przez polski organ.
W ostatnim czasie polski Urząd Ochrony Danych Osobowych nałożył aż 3 kary za naruszenie przepisów Rodo. Na co chciałabym zwrócić uwagę każda z tych kar została nałożona za inne naruszenie. Pierwsza z nich dotyczyła braku wdrożenia odpowiednich środków technicznych i organizacyjnych. Kara odnosiła się do tego, że administrator nie przeprowadzał testów zastosowanych zabezpieczeń, a dokonywał tego tylko i wyłącznie gdy zidentyfikowano podatności. To właśnie stało się przyczyną nieuprawnionego dostępu do danych klientów.Zarzucono administratorowi, że testowanie środków technicznych było nieregularne i niekompleksowe. Istotne jest też, że administrator nie przeprowadził testowania rozwiązania z którego korzystał przed jego wprowadzeniem do używania przez klientów. Nałożona kara jest wysoka bowiem mówimy o kwocie prawie 2 mln złotych. Organ zwrócił uwagę na to jak ważne jest sprawdzanie zastosowanych środków organizacyjnych i technicznych regularnie.
Druga kara nałożona została za niezgłoszenie do organu nadzoru incydentu naruszenia ochrony danych. Sprawa dotyczyła wysłania maila do niewłaściwego adresata. Agent ubezpieczeniowy wysłał maila zawierającego dane klienta do błędnego adresata. Ten incydent nie został zgłoszony, zgłosił go jednak odbiorca maila. Kara nałożona na administratora to kwota ponad 85 000 zł. Urząd uznał, że wysłanie do niewłaściwego adresata maila z prośbą o skasowanie maila zawierającego dane osobowe nie jest wystarczające, bowiem może on to skopiować. Dlatego też wysyłając wiadomości e-mail zawierające dane osobowe należy dokonywać weryfikacji adresu e-mail oraz szyfrować wysyłane dokumenty tak aby bez hasła nikt nie mógł ich otworzyć.
Niezgłoszenia naruszenia danych dotyczyła również trzecia nałożona kara. Doszło do niego na Uniwersytecie Medycznym podczas realizowania egzaminów w formie wideokonferencji. Zapisy z tego egzaminu w czasie którego miała miejsce identyfikacja studentów były dostępne dla osób postronnych. Za to naruszenie nałożono karę w wysokości 25 000 zł. Nakazano również zawiadomienie o tym osób, których to naruszenie dotyczyło. Kara ma charakter prewencyjny, aby pokazać administratorom, że zobowiązani są realizować obowiązek zgłoszenia.
Instagram- rychlik.lawoffice
Facebook – https://www.facebook.com/pages/category/Legal/Kancelaria-Adwokacka-adw-Daria-Rychlik-Law-Office-1190332877818581/
Grupa na facebooku poświęcona prawu, biznesowi i zamówieniom publicznym- https://www.facebook.com/groups/1516954515138949/?ref=pages_profile_groups_tab&source_id=1190332877818581
Blog – https://www.kancelariaattorney.pl/blog
Strona – https://www.kancelariaattorney.pl/
e-mail: d.rychlik@kancelariaattorney.pl