Kary pieniężne nałożone przez Prezesa Urzędu Ochrony Danych Osobowych

30 listopada 2022
5/5 - (2 votes)

DKN.5131.18.2022

3.11.2022

250 000 PLN

Osoba trzecia otrzymała na skrzynkę mailową dokumenty dot. umowy telekomunikacyjnej, której nie była stroną. Zawiadomiła o tym Prezesa UODO, który wezwał spółkę P4 do udzielenia informacji na temat naruszenia. Zdaniem spółki nie było to naruszenie, dlatego też nie powiadomiła osoby, której dane dotyczyły o incydencie. Dopiero w momencie wszczęcia postępowania administracyjnego administrator spółki przesłał do PUODO zgłoszenie naruszenia, jednocześnie uchybiając przepisom prawa telekomunikacyjnego. Prezes UODO ukarał spółkę za niezawiadomienie o naruszeniu danych osobowych w terminie 24 godzin od wykrycia naruszenia danych osobowych oraz brak niezwłocznego powiadomienia o naruszeniu danych osobowych abonenta, którego dotyczyło naruszenie.

DKN.5131.8.2022

2.11.2022

8 000 PLN

Do PUODO wpłynęło zgłoszenie naruszenia ochrony danych osobowych. Skradziono komputer służbowy, na którym znajdywały się niezabezpieczone dane osobowe. Sprzęt znajdował się poza siedzibą administratora, co było niezgodne z przyjętymi przez administratora politykami i procedurami bezpieczeństwa. Administrator, Wójt Gminy Dobrzyniewo Duże, przeprowadzał analizy ryzyka, posiadał dokumentacje spełniającą wymogi bezpieczeństwa, ale nie stosował jej w praktyce. Dopiero po naruszeniu wprowadził m.in. szyfrowanie dysków. Prezes UODO ukarał administratora za niezapewnienie bezpieczeństwa danych osobowych oraz brak wdrożenia odpowiednich środków technicznych i organizacyjnych. Na wysokość kary miała wpływ nieumyślność naruszenia przepisów oraz fakt, że komputer został odnaleziony, a jego system operacyjny od dnia kradzieży nie był uruchamiany.

DKN.5131.29.2022

7.09.2022

2 500 PLN

Prezes UODO otrzymał zgłoszenie o naruszeniu ochrony danych osobowych przez Sułowicki Ośrodek Kultury. Postępowanie wyjaśniające wykazało, że strona nie zawarła umowy powierzenia danych osobowych z procesorem, któremu zleciła prowadzenie ksiąg rachunkowych, ewidencji, sporządzanie raportów oraz przechowywanie dokumentacji. Ponadto ośrodek nie zweryfikował czy podmiot przetwarzający posiada wystarczające środki techniczne i organizacyjne, aby przetwarzać dane zgodnie z przepisami RODO.

DKN.5131.34.2021

6.07.2022

10 000 PLN

Uniwersyteckim Centrum Klinicznym Warszawskiego Uniwersytetu Medycznego wyciekły dane osobowe. Pacjent otrzymał skierowanie do poradni, które zawierało dane osobowe innej osoby (imię, nazwisko, adres, PESEL, informacje o stanie zdrowia). Administrator błędnie stwierdził, że były to dane osobowe nieistniejącej osoby, zakwalifikował zdarzenie jako incydent bezpieczeństwa, ale ostatecznie uznał, że nie wywiera ono skutków dla praw i obowiązków osoby. Prezes UODO nałożył karę z uwagi na niezgłoszenie organowi nadzorczemu tego zdarzenia oraz niezawiadomienie o nim osób, której dane dotyczą.

DKN.5131.27.2022

6.07.2022

60 000 PLN

Na serwisie www.geoportal.gov.pl przez ponad 48 h widoczne były numery ksiąg wieczystych. Główny Geodeta Kraju nie zgłosił naruszenia ochrony danych osobowych mimo zawiadomienia o takim obowiązku. Nie powiadomił również osób, których dane zostały naruszone. W trakcie postępowania podtrzymywał, że numery ksiąg wieczystych nie stanowią danych osobowych.

DKN.5110.12.2021

6.06.2022

15 994 PLN

Z winy pracodawcy zostało zgubione świadectwo pracy. Esselmann Technika Pojazdowa Sp. z o.o. Sp. k. z siedzibą w Poznaniu zawiadomiła o tym pracownika, który nie miał roszczeń wobec niej. W konsekwencji spółka nie zgłosiła do UODO naruszenia, za co została ukarana administracyjną karną pieniężną.

rodo dla firm szkoleniebhpnet

Please follow and like us: