Po incydencie naruszenia ochrony danych osobowych administrator ma obowiązek dokonać oceny ryzyka. To właśnie od niej zależy, czy powstanie obowiązek zgłoszenia incydentu organowi nadzorczemu oraz zawiadomienia o nim osób, których dane dotyczą. PUODO wyjaśnia, jak prawidłowo przeprowadzić tę analizę i które czynniki mają największe znaczenie.

Szwedzki Urząd Ochrony Prywatności (IMY) nałożył karę administracyjną na Biuro Rzecznika ds. Równości. Postępowanie wykazało, że Biuro nie stosowało wystarczających środków bezpieczeństwa przy zbieraniu danych za pomocą internetowego formularza. W efekcie doszło do przypadkowego ujawnienia danych osobowych.

Włoski organ ochrony danych ukarał firmę energetyczną i jej współpracowników za bezprawne działania prowadzone przez call center. Operatorzy przetwarzali dane klientów bez ich zgody, próbując namówić ich do zmiany dostawcy prądu i gazu.

W internetowym serwisie publikowano zdjęcia i nagrania o charakterze seksualnym. Kobiety, których wizerunki pojawiły się na stronie, nie miały o tym pojęcia i nie wyraziły zgody. PUODO uznał, że mogło dojść do przestępstwa niedopuszczalnego przetwarzania danych osobowych. W związku z tym skierował zawiadomienie do prokuratury.

Francuski organ ochrony danych CNIL ukarał europejskiego operatora strony shein.com za poważne naruszenia przepisów dotyczących plików cookies. Chodzi o umieszczanie „ciasteczek” na urządzeniach użytkowników odwiedzających stronę shein.com bez ich zgody.

Prezes zarządu nie może jednocześnie pełnić funkcji Inspektora Ochrony Danych – przypomniał Urząd Ochrony Danych Osobowych, jednocześnie nakładając na spółkę medyczną Specer karę wysokości 11 365 zł. Taka sytuacja prowadzi bowiem do naruszenia zasady niezależności wynikającej z RODO.

Norweski Urząd Ochrony Danych Osobowych (Datalisynet) przeprowadził kontrolę na sześciu stronach internetowych wykorzystujących piksele śledzące. Stwierdził, że na wszystkich z nich doszło do bezprawnego udostępniania danych osobowych podmiotom trzecim, w tym także danych wrażliwych.

Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę Toyota Bank Polska S.A. na decyzję Prezesa UODO. Chodzi o zapłatę dwóch kar pieniężnych za zaniedbania z zakresu ochrony danych osobowych. Ich suma wynosi aż 576 220 złotych.

Grecki organ ochrony danych nałożył kary o łącznej wartości ponad 700 tysięcy euro na Vodafone i jego franczyzobiorcę DS Phone. Niewystarczający nadzór i brak wdrożenia odpowiednich środków technicznych doprowadził do bezprawnej rejestracji 15 kart SIM na dane osobowe niczego nieświadomej obywatelki.

Francuski organ ochrony danych osobowych (CNIL) nałożył na Google LLC i Google Ireland Limited kary w łącznej wysokości 325 milionów euro. Naruszenia w zakresie danych osobowych dotyczyły niezgodnego z prawem wyświetlania reklam w poczcie Gmail, a także stosowania nieprawidłowego mechanizmu uzyskiwania zgód na pliki cookie.

Federalny niemiecki organ ochrony danych osobowych (BfDI) nałożył na Vodafone GmbH kary administracyjne za naruszenia z zakresu RODO. Naruszenia te były na tyle poważne, że dostawca usług telekomunikacyjnych zapłacił łącznie 45 milionów euro.

Naczelny Sąd Administracyjny (NSA) oddalił skargę kasacyjną Sądu Rejonowego Szczecin-Centrum. Uznał, że PUODO słusznie nałożył karę pieniężną w związku ze zgubieniem nośników pendrive przez sędziego. Tym bardziej, że w tym przypadku doszło do długotrwałych i poważnych uchybień stwarzających realne ryzyko dla danych osobowych.

Szkoła udostępniła zewnętrznemu dostawcy posiłków pełną bazę danych uczniów. Zakres tych informacji znacznie wykraczał poza dane, których firma cateringowa potrzebowała do śledzenia zamówień posiłków. Zdaniem słoweńskiego organu ochrony danych tych naruszeń można było uniknąć.

Prezes UODO Mirosław Wróblewski nałożył na ING Bank Śląski rekordową karę za naruszenie RODO – ponad 18,4 milionów złotych. Bank bezpodstawnie skanował dowody osobiste klientów i potencjalnych klientów, także w sytuacjach niezwiązanych z obowiązkami wynikającymi z przepisów Ustawy o przeciwdziałania praniu pieniędzy.

Hellenic SA, grecki organ ochrony danych, nałożył karę na stowarzyszenie osób z zaburzeniami ze spektrum autyzmu. Organizacja „Tarcza Dawida” utrudniła skorzystanie z prawa dostępu do danych, a także dopuściła się dalszych naruszeń.

Francuski organ ochrony danych osobowych (CNIL) nałożył na firmę Solocal Marketing Services karę wysokości 900 tysięcy euro. Firma naruszyła przepisy RODO oraz francuskiego kodeksu poczty i łączności elektronicznej w zakresie gromadzenia i potwierdzania zgody na komunikację marketingową.

Dopiero gdy dokumentacja medyczna została skradziona z samochodu lekarza, niepubliczny ZOZ w Pyskowicach wdrożył realne zabezpieczenia danych osobowych pacjentów. Prezes UODO zauważył, że gdyby analiza ryzyka została przeprowadzona wcześniej, konsekwencji tego zdarzenia dałoby się uniknąć.

Irlandzki organ ochrony danych (DPC) nałożył karę 125.000 euro na Radę ds. Edukacji i Szkolenia Miasta Dublin (CDETB) za naruszenie ochrony danych osobowych około 13 tysięcy osób ubiegających się o stypendia studenckie. Wśród danych znajdowały się także dane szczególnej kategorii: dotyczące pochodzenia rasowego lub etnicznego oraz stanu zdrowia. Choć po odkryciu na serwerze złośliwego oprogramowania Rada powinna niezwłocznie poinformować o incydencie organ nadzorczy i kandydatów do stypendium, nie wywiązała się z tego obowiązku.

Wojewódzki Sąd Administracyjny w Warszawie w pełni poparł argumentację Prezesa UODO w sprawie dotyczącej spółek Delta KTW oraz InterSYS. Tym samym sąd oddalił skargę złożoną na decyzję, w której PUODO nałożył na wspomniane spółki kary po ataku ransomware.

Decyzja Prezesa UODO w sprawie McDonald’s Polska i 24/7 Communication to nie reakcja na pojedynczy incydent. Kara – prawie 17 milionów złotych dla McDonald’s i blisko 200 tysięcy złotych dla jego partnera technologicznego – została nałożona nie za sam wyciek danych, ale za systemowe zaniedbania: brak analizy ryzyka, niewdrożenie adekwatnych zabezpieczeń oraz brak nadzoru nad procesem przetwarzania. Organ nadzorczy jasno zakomunikował, że odpowiedzialność nie kończy się na podpisaniu umowy, a brak kultury ochrony danych może mieć dla firm bardzo kosztowne konsekwencje