30 listopada 2022
DKN.5131.18.2022 3.11.2022 | 250 000 PLN | Osoba trzecia otrzymała na skrzynkę mailową dokumenty dot. umowy telekomunikacyjnej, której nie była stroną. Zawiadomiła o tym Prezesa UODO, który wezwał spółkę P4 do udzielenia informacji na temat naruszenia. Zdaniem spółki nie było to naruszenie, dlatego też nie powiadomiła osoby, której dane dotyczyły o incydencie. Dopiero w momencie wszczęcia postępowania administracyjnego administrator spółki przesłał do PUODO zgłoszenie naruszenia, jednocześnie uchybiając przepisom prawa telekomunikacyjnego. Prezes UODO ukarał spółkę za niezawiadomienie o naruszeniu danych osobowych w terminie 24 godzin od wykrycia naruszenia danych osobowych oraz brak niezwłocznego powiadomienia o naruszeniu danych osobowych abonenta, którego dotyczyło naruszenie. | |
DKN.5131.8.2022 2.11.2022 | 8 000 PLN | Do PUODO wpłynęło zgłoszenie naruszenia ochrony danych osobowych. Skradziono komputer służbowy, na którym znajdywały się niezabezpieczone dane osobowe. Sprzęt znajdował się poza siedzibą administratora, co było niezgodne z przyjętymi przez administratora politykami i procedurami bezpieczeństwa. Administrator, Wójt Gminy Dobrzyniewo Duże, przeprowadzał analizy ryzyka, posiadał dokumentacje spełniającą wymogi bezpieczeństwa, ale nie stosował jej w praktyce. Dopiero po naruszeniu wprowadził m.in. szyfrowanie dysków. Prezes UODO ukarał administratora za niezapewnienie bezpieczeństwa danych osobowych oraz brak wdrożenia odpowiednich środków technicznych i organizacyjnych. Na wysokość kary miała wpływ nieumyślność naruszenia przepisów oraz fakt, że komputer został odnaleziony, a jego system operacyjny od dnia kradzieży nie był uruchamiany. | |
DKN.5131.29.2022 7.09.2022 | 2 500 PLN | Prezes UODO otrzymał zgłoszenie o naruszeniu ochrony danych osobowych przez Sułowicki Ośrodek Kultury. Postępowanie wyjaśniające wykazało, że strona nie zawarła umowy powierzenia danych osobowych z procesorem, któremu zleciła prowadzenie ksiąg rachunkowych, ewidencji, sporządzanie raportów oraz przechowywanie dokumentacji. Ponadto ośrodek nie zweryfikował czy podmiot przetwarzający posiada wystarczające środki techniczne i organizacyjne, aby przetwarzać dane zgodnie z przepisami RODO. | |
DKN.5131.34.2021 6.07.2022 | 10 000 PLN | W Uniwersyteckim Centrum Klinicznym Warszawskiego Uniwersytetu Medycznego wyciekły dane osobowe. Pacjent otrzymał skierowanie do poradni, które zawierało dane osobowe innej osoby (imię, nazwisko, adres, PESEL, informacje o stanie zdrowia). Administrator błędnie stwierdził, że były to dane osobowe nieistniejącej osoby, zakwalifikował zdarzenie jako incydent bezpieczeństwa, ale ostatecznie uznał, że nie wywiera ono skutków dla praw i obowiązków osoby. Prezes UODO nałożył karę z uwagi na niezgłoszenie organowi nadzorczemu tego zdarzenia oraz niezawiadomienie o nim osób, której dane dotyczą. | |
DKN.5131.27.2022 6.07.2022 | 60 000 PLN | Na serwisie www.geoportal.gov.pl przez ponad 48 h widoczne były numery ksiąg wieczystych. Główny Geodeta Kraju nie zgłosił naruszenia ochrony danych osobowych mimo zawiadomienia o takim obowiązku. Nie powiadomił również osób, których dane zostały naruszone. W trakcie postępowania podtrzymywał, że numery ksiąg wieczystych nie stanowią danych osobowych. | |
DKN.5110.12.2021 6.06.2022 | 15 994 PLN | Z winy pracodawcy zostało zgubione świadectwo pracy. Esselmann Technika Pojazdowa Sp. z o.o. Sp. k. z siedzibą w Poznaniu zawiadomiła o tym pracownika, który nie miał roszczeń wobec niej. W konsekwencji spółka nie zgłosiła do UODO naruszenia, za co została ukarana administracyjną karną pieniężną. |