Dlaczego NSA uchylił nałożoną na Morele.net karę za wyciek danych?

A skoro dziś PUODO planuje briefing prasowy poświęcony orzeczeniu NSA uchylającemu karę nałożoną na sklep Morele.net, czas przyjrzeć się co ten wyrok oznacza dla innych podmiotów. Począwszy od sakramentalnego pytania czy administrator odpowiada za to, że był wyciek, czy jednak za to, że dopuścił do wycieku? poprzez wątpliwości czy obowiązkiem jest stosowanie zabezpieczeń odpowiednich (adekwatnych do zagrożeń), … Czytaj dalej

Publikowanie danych abonentów w spisie numerów wymaga ich wyraźnej zgody — której nie zastępuje tryb opt-out (TSUE C-129/21)

SIM swapping

W wydanym dziś orzeczeniu TSUE stwierdził, że publikowanie danych abonentów w spisie numerów wymaga wyrażenia przez nich jasnej i wyraźnej zgody, zaś ich przetwarzanie nie może nastąpić na zasadzie opt-out. Żądanie usunięcia numeru ze spisu abonentów jest tożsame z żądaniem usunięcia danych w rozumieniu RODO, zatem należy o nich powiadomić także inne podmioty, którym dane zostały upublicznione. wyrok … Czytaj dalej

Wysokość kary za naruszenie RODO powinna być współmierna do skali naruszeń

A skoro niedawno obchodziliśmy siódmą rocznicę wejścia w życie i piątą stosowania RODO (jak ten czas leci…!), to dziś czas na kilkanaście akapitów o tym, że administrator może być ukarany za wyciek danych osobowych będących efektem uchybienia w wykonywaniu obowiązków wynikających z RODO — ale tylko za czas po wejściu w życie rozporządzenia, no i … Czytaj dalej

Dostęp do danych z PESEL wymaga podania uzasadnienia (zwłaszcza, że były przekręty z korzystaniem z aplikacji „ŹRÓDŁO”)

A skoro tematem tygodnia jest podsłuch stosowany przez władzę w celach politycznych, dziś czas na kilka zdań o tym, że każda czynność sprawdzenia danych w rejestrze PESEL poprzez aplikację „ŹRÓDŁO” powinna mieć wyraźne uzasadnienie — tym bardziej, skoro były już przekręty (wyrok Naczelnego Sądu Administracyjnego z 3 grudnia 2021 r. III OSK 590/21). Sprawa zaczęła się przeprowadzonej przez … Czytaj dalej

To administrator odpowiada za zabezpieczenia systemów — a więc także za to, że pracownik zdołał skopiować dane osobowe na zewnętrzny nośnik

Czy administrator może ponosić odpowiedzialność za błędy w projektowaniu systemów, w których przetwarzane są dane osobowe — na przykład za to, że możliwe było pobranie danych na zewnętrzny nośnik? Czy jednak odpowiedzialność administratora za niestosowanie się do zasady privacy by design jest wykluczona? I, wcale nie na marginesie: czy pracownik, który samodzielnie, wbrew ustalonym przez … Czytaj dalej