Naczelny Sąd Administracyjny (NSA) oddalił skargę kasacyjną Sądu Rejonowego Szczecin-Centrum. Uznał, że PUODO słusznie nałożył karę pieniężną w związku ze zgubieniem nośników pendrive przez sędziego. Tym bardziej, że w tym przypadku doszło do długotrwałych i poważnych uchybień stwarzających realne ryzyko dla danych osobowych.

Szkoła udostępniła zewnętrznemu dostawcy posiłków pełną bazę danych uczniów. Zakres tych informacji znacznie wykraczał poza dane, których firma cateringowa potrzebowała do śledzenia zamówień posiłków. Zdaniem słoweńskiego organu ochrony danych tych naruszeń można było uniknąć.

Prezes UODO Mirosław Wróblewski nałożył na ING Bank Śląski rekordową karę za naruszenie RODO – ponad 18,4 milionów złotych. Bank bezpodstawnie skanował dowody osobiste klientów i potencjalnych klientów, także w sytuacjach niezwiązanych z obowiązkami wynikającymi z przepisów Ustawy o przeciwdziałania praniu pieniędzy.

Hellenic SA, grecki organ ochrony danych, nałożył karę na stowarzyszenie osób z zaburzeniami ze spektrum autyzmu. Organizacja „Tarcza Dawida” utrudniła skorzystanie z prawa dostępu do danych, a także dopuściła się dalszych naruszeń.

Francuski organ ochrony danych osobowych (CNIL) nałożył na firmę Solocal Marketing Services karę wysokości 900 tysięcy euro. Firma naruszyła przepisy RODO oraz francuskiego kodeksu poczty i łączności elektronicznej w zakresie gromadzenia i potwierdzania zgody na komunikację marketingową.

Dopiero gdy dokumentacja medyczna została skradziona z samochodu lekarza, niepubliczny ZOZ w Pyskowicach wdrożył realne zabezpieczenia danych osobowych pacjentów. Prezes UODO zauważył, że gdyby analiza ryzyka została przeprowadzona wcześniej, konsekwencji tego zdarzenia dałoby się uniknąć.

Irlandzki organ ochrony danych (DPC) nałożył karę 125.000 euro na Radę ds. Edukacji i Szkolenia Miasta Dublin (CDETB) za naruszenie ochrony danych osobowych około 13 tysięcy osób ubiegających się o stypendia studenckie. Wśród danych znajdowały się także dane szczególnej kategorii: dotyczące pochodzenia rasowego lub etnicznego oraz stanu zdrowia. Choć po odkryciu na serwerze złośliwego oprogramowania Rada powinna niezwłocznie poinformować o incydencie organ nadzorczy i kandydatów do stypendium, nie wywiązała się z tego obowiązku.

Wojewódzki Sąd Administracyjny w Warszawie w pełni poparł argumentację Prezesa UODO w sprawie dotyczącej spółek Delta KTW oraz InterSYS. Tym samym sąd oddalił skargę złożoną na decyzję, w której PUODO nałożył na wspomniane spółki kary po ataku ransomware.

Decyzja Prezesa UODO w sprawie McDonald’s Polska i 24/7 Communication to nie reakcja na pojedynczy incydent. Kara – prawie 17 milionów złotych dla McDonald’s i blisko 200 tysięcy złotych dla jego partnera technologicznego – została nałożona nie za sam wyciek danych, ale za systemowe zaniedbania: brak analizy ryzyka, niewdrożenie adekwatnych zabezpieczeń oraz brak nadzoru nad procesem przetwarzania. Organ nadzorczy jasno zakomunikował, że odpowiedzialność nie kończy się na podpisaniu umowy, a brak kultury ochrony danych może mieć dla firm bardzo kosztowne konsekwencje

Uniwersytecki Dziecięcy Szpital Kliniczny w Białymstoku zapłaci 66 500 zł kary za naruszenie przepisów RODO. Placówka padła ofiarą ataku złośliwego oprogramowania, a dane osobowe około 2 000 pracowników zostały zagrożone. Szpital przeprowadził audyt zgodności z ustawą o krajowym systemie cyberbezpieczeństwa, ale to nie wystarczyło – nie przeprowadzono właściwej oceny ryzyka zgodnie z wymogami RODO

TikTok zapłaci aż 530 milionów euro kary za naruszenie w zakresie RODO. Zdaniem irlandzkiego organu ochrony danych (DPC) serwis naruszył europejskie przepisy dotyczące ochrony danych osobowych. Zapłata wspomnianej kary administracyjnej to jednak nie wszystko. DPC zobowiązał też TikToka do zapewnienia zgodności przetwarzania danych z wymogami RODO w ciągu 6 miesięcy

Gminny Ośrodek Pomocy Społecznej w Aleksandrowie i Wójt otrzymali kary odpowiednio 5.000 zł i 10.000 zł za niewystarczające zabezpieczenia danych osobowych. Wszystko w związku z atakiem hakerów z 2022 roku, który spowodował utratę dostępu do szczegółowych informacji 1500 klientów GOPS. Prezes UODO stwierdził, że incydentu można by było uniknąć, gdyby przeprowadzono rzetelną analizę ryzyka i wdrożono procedury kontrolne

Zakład pogrzebowy z Puław musi zapłacić 33 tysiące złotych kary za naruszenie w zakresie ochrony danych osobowych. Jako administrator ochrony danych nie tylko nie stosował odpowiednich zabezpieczeń, ale także nie przeprowadził analizy ryzyka i nie zgłosił PUODO incydentu związanego z utratą danych. Teraz nie tylko musi zapłacić karę. Ma również obowiązek wdrożenia w ciągu 30 dni środków, które pozwolą zminimalizować zagrożenia

Poradnik stanowi kompleksowe opracowanie dotyczące naruszeń ochrony danych osobowych, obejmujące definicje, przyczyny, metody zapobiegania i identyfikowania naruszeń, obowiązki administratorów i podmiotów przetwarzających, ocenę ryzyka, a także procedury zgłaszania i zawiadamiania. Dokument zawiera również odniesienia do przepisów RODO i zaleceń organów nadzorczych. 7 lat temu UODO po raz pierwszy opublikował poradnik dotyczący naruszeń ochrony danych osobowych. Nowa wersja poradnika dotyczącego naruszeń danych osobowych jest jeszcze bardziej praktyczna

Analizujemy jakie przepisy RODO naruszyło Centrum Medyczne Ujastek sp. z o.o. w związku ze stosowaniem monitoringu. Na co należy zwrócić uwagę i o spełnienie jakich wymogów prawnych należy zadać aby zapobiec naruszeniom RODO w sytuacji gdy stosowany jest monitoring

Toyota Bank Polska S.A. profilowała dane klientów, żeby określić ich zdolność kredytową. Nie uwzględniła jednak tej kwestii w rejestrze czynności przetwarzania danych. Było to jednak dopiero pierwsze z zaniedbań w zakresie RODO, które Prezes PUODO stwierdził podczas kontroli. Kolejne naruszenie dotyczyło braku niezależności Inspektora ochrony danych. W konsekwencji PUODO nałożył na bank wysoką karę pieniężną za naruszenia RODO

Przy przebudowie strony internetowej Panek SA omyłkowo udostępniono dane osobowe prawie 21,5 tysiąca klientów oraz pracowników. Spółka zawiadomiła o incydencie PUODO, jednocześnie twierdząc, że odpowiedzialność za całe zajście ponosi firma zapewniająca obsługę informatyczną. PUODO nałożył jednak karę administracyjną nie tylko na podwykonawcę, ale także na Panek SA.

Szpital Powiatowy we Wrześni ujawnił osobie trzeciej dane osobowe swojej pacjentki. Nie zawiadomił jednak PUODO o tym incydencie. Z kolei samą pacjentkę wprawdzie poinformował o naruszeniach, ale zrobił to zdecydowanie za późno. Z tego powodu Prezes UODO nałożył na szpital karę administracyjną wysokości 29.648 złotych

Chorągiew Stołeczna ZHP zapłaci 24.555 zł kary za naruszenia w zakresie danych osobowych. Jako administrator danych osobowych wprawdzie przeprowadziła analizę ryzyka. Nie testowała jednak, nie mierzyła i nie oceniała regularnie skuteczności wdrażanych rozwiązań. Z tego powodu nie wdrożyła potrzebnych środków technicznych i organizacyjnych

Powiatowy Inspektorat Nadzoru Budowlanego w Częstochowie otrzymał administracyjną karę pieniężną wysokości 25 tysięcy złotych. Utrzymywał wprawdzie, że wyznaczył inspektora ochrony danych. Zdaniem Prezesa UODO nie był jednak w stanie przedstawić dowodów, które jednoznacznie by to potwierdzały