Czy administrator ponosi odpowiedzialność za wyciek danych osobowych — wskutek hakerskiego ataku na bazę prowadzoną przez podwykonawcę?

Czy administrator ponosi odpowiedzialność za wyciek danych osobowych — umożliwienie przez podmiot przetwarzający dostępu do bazy osobom nieupoważnionym? Jeśli do naruszenia doszło wskutek ataku hakerów, a administratorowi nie sposób zarzucać niedopatrzenia w wyborze podwykonawcy? I, wcale nie na marginesie: czy PUODO, zarzucając naruszenie bezpieczeństwa danych, powinien udowodnić tę okoliczność już na etapie decyzji — czy … Dowiedz się więcej

Czy otrzymanie ustnej zgody na przetwarzanie danych osobowych wymaga jej udokumentowania przez administratora?

Czy człowiek może złożyć ustne oświadczenie o zgodzie na doręczanie dotyczącej go korespondencji osobie trzeciej? Czy istnieje wymóg pisemnego wyrażenia zgody na udostępnianie danych? A może ustna zgoda na przetwarzanie danych osobowych jest dopuszczalna i skuteczna — ale administrator musi pomyśleć o jej prawidłowym udokumentowaniu? (wyrok Naczelnego Sądu Administracyjnego z 9 lipca 2024 r., III OSK 2425/22). … Dowiedz się więcej

Czy nałożona na Morele.net kara — po wygranej przed NSA — mogła być wyższa niż wcześniej?

Od dywagacji z cyklu „co mi się dziś wydaje” na temat RODO wolę twarde informacje, dziś jednak przyszedł czas na kilka akapitów o tym dlaczego kara nałożona przez PUODO po korzystnym dla Morele.net wyroku NSA jest wyższa, niż w pierwszej decyzji. Czyli: dlaczego z kwoty 2,8 mln złotych po niespełna pięciu latach zrobiło się 3,8 mln złotych? … Dowiedz się więcej

Identyfikator internetowy używany do targetowania reklam to dane osobowe (wyrok TSUE)

Czy identyfikator internetowy służący do profilowania użytkowników internetu może być traktowany jako dane osobowe? Jeśli profilowanie ma na celu organizację aukcji RTB i dopasowanie reklam do preferencji użytkowników, którzy mogą sterować ustawieniami w sporadycznie wyświetlanym panelu zgód? Czy organizacja będąca twórcą takiego systemu, która sama jednak nie bierze udziału w giełdzie profili może być traktowana jako administrator przetwarzający … Dowiedz się więcej

Wyciek danych osobowych sam w sobie nie jest dowodem wdrożenia kiepskich zabezpieczeń (TSUE)

Administrator naruszający zasady przetwarzania danych osobowych, w szczególności stosujący niewłaściwe metody ich zabezpieczenia, może ponosić odpowiedzialność za skutki ich ujawnienia, to oczywista oczywistość. Czy jednak fakt, że wyciek danych osobowych miał miejsce, jest sam w sobie wystarczającym dowodem, że wdrożone środki zabezpieczenia były nieprawidłowe? Czy to osoba, która dochodzi odszkodowania powinna udowodnić, że administrator nie wywiązał … Dowiedz się więcej