Naruszenie ochrony danych osobowych

Administrator , poprzez wykorzystanie odpowiednich środków technicznych lub organizacyjnych, musi zapewnić odpowiednie bezpieczeństwo danych osobowych.

W szczególności powinien zabezpieczyć dane przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.

Dobór odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa powinien odpowidać ryzyku, na które narażone są przetwarzane dane osobowe.

„Zniszczenie” danych osobowych oznacza sytuację, w której dane przestają istnieć lub przestają istnieć w formie umożliwiającej ich wykorzystanie przez administratora.

Uszkodzenie” oznacza sytuację, w której dane osobowe zostały zmodyfikowane, zepsute lub nie są już kompletne.

„Utratę” danych osobowych należy rozumieć jako sytuację, w której dane mogą nadal istnieć, ale administrator utracił kontrolę nad nimi lub dostęp do nich, lub nie jest już w ich posiadaniu.

Przykładem utraty danych osobowych może być zagubienie lub kradzież nośnika zawierającego kopię bazy danych klientów administratora. O zgubieniu nośnika danych pisałam tutaj: https://przetwarzaniedanych.pl/warszawa-rodo/prawo/poradniki/dane-osobowe-pracownikow-poradniki/zgubienie-pamieci-usb-z-danymi-osobowymi

Nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych może obejmować ujawnienie danych osobowych (lub udostępnienia ich) odbiorcom, którzy nie są uprawnieni do otrzymania ich (lub uzyskania do nich dostępu), lub jakąkolwiek inną formę przetwarzania, która narusza RODO.

Naruszenie może mieć szereg istotnych negatywnych skutków dla osób fizycznych i może obejmować utratę kontroli nad swoimi danymi osobowymi, ograniczenie przysługujących praw, dyskryminację, kradzież lub sfałszowanie tożsamości, straty finansowe, nieupoważnione odwrócenie pseudonimizacji, naruszenie dobrego imienia oraz utratę poufności danych osobowych chronionych tajemnicą zawodową.

Na skutek naruszenia danych osoba, która dane dotyczą może doznać istotnych negatywnych skutków dla osób fizycznych, prowadzących do szkód fizycznych, materialnych i niematerialnych.

W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu.

Astronomiczna kara dla Google

Francuski organ ochrony danych osobowych (CNIL) nałożył na firmę Google karę finansową w wysokości 50 mln EURO za przetwarzanie danych osobowych użytkowników niezgodne z przepisami Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO).

Naruszenie zasady przejrzystości 

Informacje dostarczane przez Google nie były łatwo dostępne dla użytkowników, były dostępne dopiero po wielu “klinięciach”. Użytkownicy nie byli w stanie w pełni zrozumieć zakresu operacji przetwarzania przeprowadzanych przez Google.

Cele przetwarzania opisane były w sposób zbyt ogólny i niejasny, podobnie jak kategorie danych przetwarzanych dla tych różnych celów. Przekazane informacje nie były wystarczająco jasne, aby użytkownik mógł zrozumieć, że podstawą prawną operacji przetwarzania w celu personalizacji reklam jest zgoda, a nie uzasadniony interes firmy.

Według organu pozyskiwana przez Google w celu dostarczania spersonalizowanych reklam ​​zgoda nie została ważnie uzyskana z dwóch powodów.

Po pierwsze ​​zgoda użytkownika nie była wystarczająco poinformowana. Informacje o operacjach przetwarzania w zakresie reklam spersonalizowanych były rozproszone w kilku dokumentach i nie umożliwiały użytkownikowi zrozumienia ich zakresu. Na przykład użytkownik mógł nie mieć świadomości istnienia wielu usług, stron internetowych i aplikacji zaangażowanych w operacje przetwarzania danych. Czytaj więcej

Czy masz dowody…

Czy masz dowody na zgodność z RODO. Dzisiaj o sprawie wydawałoby się oczywistej a jednak jak sie okazuje w praktyce nie do końca.

Każdy wie, że aby wygrać w sądzie trzeba mieć dowody na popracie swojego stanowiska. Trzeba mieć dowody winy, aby kogoś skazać. W procesie karnym wątpliwości nie dające się rozstrzygnąć intrepretuje się na korzyść oskrażonego. W procesie cywilnym ciężar udowodnienia faktu spoczywa na osobie, która z tego faktu wywodzi skutki prawne.

W życiu też często poszukujemy dowodów na popracie swoich racji lub podejrzeń. Nawet małe dzieci, jeśli chodzi o dowody, wiedzą, że coś jest na rzeczy. Moja 7-letnia córka, gdy jej zarzucam, że jakaś wykryta przeze mnie psota jest na pewno jej dziełem patrząc na mnie bardzo poważnie z wyrzutem pyta czy mam na to dowody. Hm no faktycznie  namacalnych dowdów nie miałam.

To tak humorystycznie oczywiście, bo zmierzam do tego, że wykazanie zgodności przetwarzania danych osobowych z RODO również wymaga gromadzenia różnych dowodów. Czytaj więcej

Zgubienie pamięci USB z danymi osobowymi

Brytyjski organ nadzoru zajmujący się m.in. kwestiami ochrony danych osobowych, po przeprowadzeniu postępowania wydał w październiku br. decyzję nakładającą na operatora lotniska Heathrow karę pieniężną w wysokości równowartości 600 tys. zł.

Sprawa, którą badał brytyjski organ, wiązała się z zagubionym pendrive’em. Jeden z niższych rangą pracowników w drodze do pracy zgubił pendrive’a. Znalazca urządzenia przejrzał jego zawartość, a następnie przekazał je redakcji jednej z gazet.

W ocenie organu operator lotniska nie wdrożył, środka organizacyjnego w postaci zapewnienia odpowiedniego przeszkolenia personelu w zakresie ochrony danych. Osoba, która zgubiła nośnik USB, nie otrzymała przeszkolenia w tym zakresie.

Kara została nałożona na administratora nie za to, że doszło do zgubienia pendrive’a, ale przede wszystkim dlatego, że nie wdrożono wystarczających środków, by zapobiec temu incydentowi.

Podobno aż 87 proc. pracowników zdarzyło się przynajmniej raz zgubić pamięć USB, na której zapisane były firmowe dane. Czym jest zagubienie nośnika z danymi osobowymi w świetle przepisów RODO. Czy należy w takiej sytuacji podjąć jakieś działania a jeśli tak to jakie spróbuję dzisiaj odpowiedzieć na te pytania.

Przypadkowe lub niezgodne z prawem utracenie danych osobowych RODO definiuje jako naruszenie bezpieczeństwa danych osobowych. Czytaj więcej

Kara za brak zgody na SMSy marketingowe

Urząd Komunikacji Elektronicznej nałożył na Orange Polska kary pieniężne w łącznej wysokości 9,1 mln zł za wysyłanie SMS-ów marketingowych bez posiadania zgody klientów.

Zgoda na marketing bezpośredni

Jak to możliwe, że w dobie RODO, w kilka miesięcy po rozpoczęciu stosowania rozporządzenia, kara za nieuprawnione SMSy nałożona na tak duży podmiot. Co ciekawsze w tym przypadku organem, który nałożył karę jest Prezes UKE a nie UODO, gdyż operator naruszył przepisy prawa telekomunikacyjnego, które stosuje się do ochrony praw i wolności osób fizycznych  w odniesieniu do świadczenia usług łączności elektronicznej.

Przepisy prawa telekomunikacyjnego zakazują przesyłania treści marketingowych za pośrednictwem telekomunikacyjnych urządzeń końcowych bez uprzedniej zgody abonenta lub użytkownika końcowego. Przesyłanie SMSów marketingowych powinno odbywać się na podstawie uprzedniej zgody.

Administrator musi udowodnić  zgodę

Orange Polska nie wykazała, że posiadała utrwalone zgody udzielone przez swoich abonentów i użytkowników końcowych na otrzymywanie wiadomości o charakterze marketingowym, przy użyciu automatycznych systemów wywołujących.

Niewykluczone, że osoby, do których były wysyłane SMSy wyraziły nawet zgody na przetwarzanie ich danych osobowych w celach marketingowych, ale, co kluczowe, w niniejszej sprawie Orange nie udowodniła tego.

Na gruncie RODO również zasadą jest, iż w przypadku, gdy przetwarzanie odbywa się na podstawie zgody administrator musi być w stanie wykazać, że osoba, której dane dotyczą, skutecznie wyraziła zgodę. Czytaj więcej

Inspektor Ochrony Danych (IOD) w branży medycznej

31 lipca 2018 r. upłynął określony w ustawie o ochronie danych osobowych termin zgłaszania inspektorów ochrony danych (IOD) do Prezesa Urzędu Ochrony Danych Osobowych (UODO). Termin ten dotyczył tych podmiotów, w których nie był powołany ABI, a zgodnie z RODO musi być IOD.

Wydaje się, że w branży medycznej wyznaczenie IOD z reguły będzie obowiązkowe. Przepisy prawa nie rozstrzygają jednak tej kwestii w sposób oczywisty i jednoznaczny. Dodatkowo praktyka nie wypracowała jeszcze standardów postępowania w tej kwestii. Pozostaje więc traktować każdy przypadek jako indywidualną sytuację podlegającą analizie z punktu widzenia obowiązku wyznaczenia IOD.

Zgodnie z wytycznymi dotyczącymi IOD każdy administrator danych powinien przeprowadzić w swojej organizacji analizę pod kątem obowiązkowego wyznaczenia IOD a nadto ją udokumentować.

Dzisiaj chciałabym napisać o obowiązku wyznaczenia IOD lub jego braku przez  “pojedynczego lekarza” albowiem pojęcie to pojawia się wprost w RODO. Jest ono jednak niestety nieprecyzyjne i wymaga interpretacji również z uwzględnieniem przepisów sektorowych prawa medycznego.

Obowiązkowe wyznaczenie IOD 

Obowiązek wyznaczenia IOD występuje w następujących przypadkach:

  1. przetwarzania dokonują organ lub podmiot publiczny;
  2. główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
  3. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych albo danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Czytaj więcej