Kończymy naszą przerwę w blogowaniu i wracamy do regularnych wpisów, przybliżających tematy z zakresu ochrony danych osobowych.

W dzisiejszym wpisie przedstawiamy informację o ostatnich karach nałożonych przez Prezesa Urzędu Ochrony Danych Osobowych oraz o planowanej rewizji poradników Urzędu Ochrony Danych Osobowych.

Kara dla Stowarzyszenia sportowego „Maraton”.

Stowarzyszenie „Maraton” z Gorlic na Podkarpaciu otrzymało karę finansową
w wysokości 916,71 zł, w związku z nieodpowiednią reakcją na naruszenie ochrony danych osobowych. Przedmiotowe naruszenie polegało na ujawnieniu przez wolontariusza, na jednym z portali społecznościowych, danych osobowych ponad stu uczestników zawodów organizowanych przez stowarzyszenie. Uczestnicy co prawda wyrazili zgodę na przetwarzanie danych osobowych, jednak przez błąd wolontariusza upublicznione one zostały w zakresie szerszym niż wyrażona zgoda, ujawniając przy tym ich adresy e-mail oraz daty urodzenia.

Informację o naruszeniu Prezes UODO otrzymał od osoby, która pobrała udostępniony plik z danymi, nie zaś od stowarzyszenia będącego administratorem danych osobowych.  W związku z powyższym, władze stowarzyszenia zostały wezwane do złożenia odpowiednich wyjaśnień, które ograniczyły się jedynie do wskazania winnego, którym według nich był wolontariusz pracujący przy organizacji zawodów. Ponadto
w toku dalszych wyjaśnień stowarzyszenie tłumaczyło się, że jako mała organizacja nie ma wiedzy prawnej w zakresie obowiązków wynikających z RODO oraz nie uzyskała
w tym zakresie pomocy ze starostwa powiatowego, pomimo wystosowania takiej prośby.

Prezes UODO w ramach postępowania ustalił, że stowarzyszenie nie dokonało analizy ryzyka naruszenia w celu jego zgłoszenia, co w ocenie organu nadzorczego było wynikiem niezrozumienia powagi sytuacji przez władze stowarzyszenia, dlatego też zdecydował
o nałożeniu kary finansowej, która w ocenie Prezesa UODO jest karą wystarczająco odstraszająca oraz proporcjonalną do zaistniałych naruszeń. Ponadto spełniać będzie również funkcję prewencyjną, gdyż wskaże stowarzyszeniom konsekwencje lekceważenia procedur i obowiązków związanych z wystąpieniem naruszenia ochrony danych osobowych.

Kara dla Res-Gastro.

Dużo wyższa kara finansowa nałożona została na firmę gastronomiczną Res-Gastro
z Kolbuszowej, która będzie musiała zapłacić ponad 240 tys. zł, w związku ze zgubieniem przez jednego z pracowników pendrive’a zawierającego dane osobowe.

Na zgubionym nośniku znajdowały się niezaszyfrowane pliki zawierające dane osobowe innego pracownika (imię i nazwisko, adres e-mail, zdjęcia oraz dane dotyczące wysokości zarobków. Ponadto pendrive  zawierał zaszyfrowane pliki z danymi finansowymi.

W toku prowadzonego przez organ nadzorczy postępowania, firma wykazała posiadanie procedur dotyczących ochrony danych osobowych, takich jak rejestr ryzyka, potwierdzenia przeprowadzania monitorowania procedur RODO. W ocenie kontrolujących niewłaściwe były jednak zasady korzystania z zewnętrznych nośników danych, w tym ich szyfrowanie. O zasadach szyfrowania plików, firma informowała swoich pracowników na filmie instruktażowym, co w ocenie UDODO było działaniem niewystarczającym. Ponadto, w ramach przeprowadzonego postępowania organ nadzorczy stwierdził, że administrator źle ocenił ryzyko dla danych, nie biorąc pod uwagę, że nośniki je zawierające mogą zostać zgubione (co ciekawe w przeprowadzonej przez administratora analizie ryzyka uwzględniono zagrożenia takie jak kradzież lub zniszczenie nośnika). Oprócz tego, w ocenie prowadzących postępowanie, firma nie dopełniła obowiązku regularnego mierzenia, testowania i oceniania skuteczności zastosowanych środków bezpieczeństwa.

Biorąc pod uwagę powyższe Prezes UODO nałożył na Res-Gastro karę finansową
w wysokości 238 345 zł. Na wysokość kary istotny wpływ miała dobra współpraca administratora z organem nadzorczym oraz duże obroty firmy.

Kara dla Inicjatywy STOP LGBT.

Prezes UODO nałożył karę finansową w wysokości 10 913 zł na Komitet Inicjatywy Ustawodawczej „Stop LGBT”. Podstawą nałożenia kary był sposób, w jaki komitet prowadził zbiórkę podpisów pod inicjatywą ustawodawczą.

Listy poparcia dla inicjatywy zawierały takie dane osobowe jak: imię i nazwisko podpisujących, ich numery PESEL oraz adresy. Dodatkowo na każdej stronie listy znajdowała się nazwa komitetu oraz inicjatywy – co w ocenie Organu Nadzorczego stanowi zestaw danych dotyczących obywateli, które mogą ujawniać także ich poglądy polityczne lub przekonania światopoglądowe – a więc dane osobowe szczególnej kategorii.

W trakcie akcji zbierania podpisów, jedna z takich list wystawiona została w bocznym ołtarzu kościoła i dostępna była dla wszystkich. Każdy mógł ją sfotografować, a nawet wynieść. ”A tam są dane wrażliwe, bo przecież ujawniają także konkretny światopogląd i wyznanie. Dane wrażliwe osób wystawione są na niczym nieograniczoną dostępność” – czytamy w komunikacie UODO.

W związku z brakiem odpowiedniego zabezpieczenia listy wystawionej w kościele, jak również w związku z przeprowadzeniem analizy ryzyka w sposób, który nie zidentyfikował wszystkich potencjalnych zagrożeń, Prezes UODO zdecydował o nałożeniu kary finansowej w wysokości prawie 11 tys. zł.

 

 

Urząd Ochrony Danych Osobowych zaprasza do konsultacji.

Urząd Ochrony Danych Osobowych zapowiedział rewizję poradników opublikowanych na swojej stronie internetowej. W związku z tym zaprasza wszystkich zainteresowanych do zadawania pytań, przesyłania uwag i propozycji zmian do przedmiotowych dokumentów.

Na początek konsultacje dotyczyć będą dwóch poradników:

  1. Poradnika o przetwarzaniu danych przy zatrudnianiu „Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców” z 2018 r.;
  2. Poradnika o reagowaniu na naruszenia danych osobowych „Jak administratorzy powinni postępować w przypadku naruszeń ochrony danych” z 2019 r.

Zgłoszenia oraz pytania przesyłać można do 21 czerwca 2024.

Całość komunikatu, w tym adresy mailowe do korespondencji znaleźć można na stronie  https://uodo.gov.pl/pl/138/3098