Najczęściej karane uchybienia w ochronie danych osobowych

Do tej pory Prezes Urzędu Ochrony Danych nałożył następujące kary za naruszenie ochrony danych osobowych:

 1. Kara w wysokości 943 000 zł za niedopełnienie obowiązku informacyjnego przez administratora wobec osób, których dane administrator przetwarzał. Prezes UODO uznał, iż administrator tym samym uniemożliwił tym osobom skorzystanie z praw, jakie przysługują im na podstawie RODO. Naruszenie to uznano za poważne, ponieważ dotyczyło podstawowych praw i wolności osób, których dane administrator przetwarzał. Dane przetwarzane przez administratora pochodziły ze źródeł publicznie dostępnych (np. CEiDG) i dotyczyły przedsiębiorców – osób fizycznych – które prowadzą, prowadziły bądź zawiesiły działalność gospodarczą. Administrator dopełnił obowiązku informacyjnego tylko wobec tych osób, których adresami e-mail dysponował. W przypadku pozostałych osób zaniechano takich działań z uwagi na koszty (klauzula informacyjna była jednak na stronie internetowej).

  Decyzja została częściowo uchylona przez Wojewódzki Sąd Administracyjny w Warszawie, który uznał, iż obowiązek informacyjny należy wykonać wobec przedsiębiorców prowadzących aktualnie działalność oraz tych, którzy jej wykonywanie zawiesili. Jednocześnie sąd uchylił karę finansową, gdyż uznał ją w takiej sytuacji za nieproporcjonalną.
   
 2. Kara za upublicznienie zbyt szerokiego zakresu danych osobowych.

  Związek sportowy upublicznił imiona i nazwiska, a także adresy zamieszkania oraz numery PESEL sędziów, którym przyznano licencje sędziowskie. Związek sam zgłosił naruszenie Prezesowi UODO, jednak próby usunięcia naruszenia były nieskuteczne. Wysokość kary ustalono na kwotę 55 750,50 zł.
   
 3. Kolejną karę Prezes UODO nałożył w wysokości 2,8 mln zł za niewystarczające zabezpieczenia organizacyjne i techniczne, co doprowadziło do naruszenia danych osobowych. Uznano, iż zabrakło odpowiednich procedur reagowania na wypadek nietypowego ruchu w sieci. Organ nadzorczy wskazał, iż naruszenie miało znaczną wagę i poważny charakter oraz dotyczyło dużej skali osób. W wyniku naruszenia powstało także wysokie ryzyko negatywnych skutków dla osób, których dane dostały się w niepowołane ręce. Prezes stwierdził, iż doszło do naruszenia zasady poufności, a administrator nie zastosował skutecznego środka uwierzytelniania dostępu do danych. Ponadto uznano, iż do naruszenia doszło z uwagi na nieskuteczne monitorowanie potencjalnych zag...

Dalsza część jest dostępna dla użytkowników z wykupionym planem