Czy administrator ponosi odpowiedzialność za wyciek danych osobowych — wskutek hakerskiego ataku na bazę prowadzoną przez podwykonawcę?

Czy administrator ponosi odpowiedzialność za wyciek danych osobowych — umożliwienie przez podmiot przetwarzający dostępu do bazy osobom nieupoważnionym? Jeśli do naruszenia doszło wskutek ataku hakerów, a administratorowi nie sposób zarzucać niedopatrzenia w wyborze podwykonawcy? I, wcale nie na marginesie: czy PUODO, zarzucając naruszenie bezpieczeństwa danych, powinien udowodnić tę okoliczność już na etapie decyzji — czy … Dowiedz się więcej

Czy archiwizacja wygasłych umów narusza RODO?

A skoro kilka dni temu padło pytanie czy firmy muszą przez określony czas przechowywać dane klientów, o które później może zagadnąć skarbówka, dziś czas na kilka zdań o tym, czy archiwizacja wygasłych umów jest sprzeczna z RODO — czy jednak podmiot może przetwarzać dane osobowe ex-klientów? (wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 17 stycznia 2023 r., II … Dowiedz się więcej

Czy przypadkowe ujawnienie danych osobowych to też udostępnianie danych w rozumieniu RODO?

Czy incydent bezpieczeństwa, którego skutkiem jest przypadkowe ujawnienie danych osobowych, oznacza udostępnianie danych? Czy jednak niezamierzony i nieplanowany przez administratora wyciek będący skutkiem ataku hakerskiego nie może być traktowany jako przetwarzanie danych w rozumieniu RODO? I przy okazji: czy jeden wyciek danych może być przedmiotem wielokrotnego zainteresowania ze strony PUODO i czy sąd powinien dostrzec, że … Dowiedz się więcej

Administrator danych osobowych nie odpowiada za błąd podmiotu przetwarzającego, na który nie miał wpływu

Czy RODO przewiduje automatyczną odpowiedzialność administratora danych osobowych za każdy błąd podmiotu przetwarzającego dane w jego imieniu? Na przykład za wyciek danych, do którego doszło wskutek błędu pracownika firmy informatycznej? Jeśli zlecający co do zasady zajmuje się czymś innym, więc nie ma pojęcia o robocie informatycznej, a nie można mu zarzucić niedopatrzeń w wyborze outsourcera? … Dowiedz się więcej

Podmiot przetwarzający dane osobowe bez umowy lub wbrew poleceniu administratora — jest administratorem

monitoring części wspólnej nieruchomości

Podmiot przetwarzający (procesor danych) powinien przetwarzać dane „dla” administratora wyłącznie w takim zakresie, w jakim zostało mu to zlecone, to oczywista oczywistość. Jakie są jednak konsekwencje braku zawarcia stosownej umowy lub przetwarzania danych w innym zakresie, niż nakazuje umowa? Czy w takim przypadku podmiot przetwarzający staje się administratorem danych osobowych? (nieprawomocny wyrok WSA w Warszawie … Dowiedz się więcej