Wyciek danych osobowych sam w sobie nie jest dowodem wdrożenia kiepskich zabezpieczeń (TSUE)

Administrator naruszający zasady przetwarzania danych osobowych, w szczególności stosujący niewłaściwe metody ich zabezpieczenia, może ponosić odpowiedzialność za skutki ich ujawnienia, to oczywista oczywistość. Czy jednak fakt, że wyciek danych osobowych miał miejsce, jest sam w sobie wystarczającym dowodem, że wdrożone środki zabezpieczenia były nieprawidłowe? Czy to osoba, która dochodzi odszkodowania powinna udowodnić, że administrator nie wywiązał … Dowiedz się więcej

Czy można dostać karę za brak regularnego testowania zabezpieczeń danych osobowych?

Jednym z obowiązków administratora danych osobowych jest stałe monitorowanie wdrożonych środków bezpieczeństwa. Biorąc zatem pod uwagę pogląd, iż nie można dostać kary za wyciek danych, ale kara grozi podmiotowi, którego zaniedbania doprowadziły do wycieku, można zadać całkiem racjonalne pytanie: czy na gruncie RODO kara grozi za brak regularnego testowania zabezpieczeń przetwarzanych danych? I, wcale nie … Dowiedz się więcej

Dlaczego NSA uchylił nałożoną na Morele.net karę za wyciek danych?

A skoro dziś PUODO planuje briefing prasowy poświęcony orzeczeniu NSA uchylającemu karę nałożoną na sklep Morele.net, czas przyjrzeć się co ten wyrok oznacza dla innych podmiotów. Począwszy od sakramentalnego pytania czy administrator odpowiada za to, że był wyciek, czy jednak za to, że dopuścił do wycieku? poprzez wątpliwości czy obowiązkiem jest stosowanie zabezpieczeń odpowiednich (adekwatnych do zagrożeń), … Dowiedz się więcej

Pracodawca, który zgubił dokumenty dotyczące pracownika, musi powiadomić PUODO o incydencie

Czy zagubienie przez pracodawcę świadectwa pracy należy traktować jako naruszenie ochrony danych osobowych? Czy w takim przypadku pracodawca powinien powiadomić o incydencie urząd? Jeśli pracownik świetnie zna się z osobą, która zawieruszyła dokument i nie rości sobie żadnych pretensji wobec pracodawcy? (decyzja PUODO z 6 czerwca 2022 r, DKN.5110.12.2021). Sprawa zaczęła się od wydania przez … Dowiedz się więcej

Wyciek numeru PESEL nie oznacza poważnego ryzyka dla zainteresowanej osoby

Czy naruszeniem ochrony danych osobowych będzie tylko sytuacja, kiedy incydent spowodował negatywne skutki dla zainteresowanej osoby? Czy jednak wystarczy sam fakt, iż wskutek wycieku dostęp do informacji uzyskała osoba nieupoważniona? A czy wyciek numeru PESEL, wraz z imieniem i nazwiskiem, powoduje znaczne ryzyko negatywnych konsekwencji (np. zaciągnięcia kredytu po kradzieży tożsamości)? nieprawomocny wyrok WSA w … Dowiedz się więcej