Skip to content
cropped-logo-biel-min.png
  • O nas
  • Wdrożenie RODO
  • Nasze usługi
    • Audyt danych osobowych, zgodności RODO
    • Analiza ryzyka
    • Dokumentacja ochrony danych osobowych
      • Dokumentacja RODO w placówkach medycznych
      • Dokumentacja RODO dla biur rachunkowych
    • RODO oferta dla firm
    • RODO w e-commerce
    • Naruszenie ochrony danych osobowych
  • Szkolenie RODO
  • Blog
    • Obowiązki administratora danych osobowych
    • Upoważnienie do przetwarzania danych osobowych
    • Ochrona danych osobowych firmy i informacji poufnych
    • Europejska Rada Ochrony Danych (EROD)
    • Zadania Inspektora ochrony danych
    • Jak prawidłowo wyznaczyć Inspektora ochrony danych?
    • Obowiązki administratora danych osobowych
    • Klauzula informacyjna
    • Zgoda na przetwarzanie danych osobowych w celach marketingowych
    • Przetwarzanie, wykorzystanie i rozpowszechnianie danych osobowych bez zgody
    • Praktyczne problemy z realizacją prawa do usunięcia danych osobowych
    • Dokumentacja pracownicza a RODO – o czym musimy pamiętać?
    • Ochrona danych osobowych pracownika w Internecie
    • Wyciek danych … i co dalej?
    • Co to jest DPIA?
    • Alert RODO – kara za nieumożliwienie przeprowadzenia kontroli
    • Kary za naruszenie RODO np. ujawnianie, czy udostępnianie danych osobowych
    • Praktyczne podejście do art. 32 Rozporządzenia RODO
    • Czym jest monitoring wizyjny?
    • Ochrona danych osobowych a kary RODO
    • Czym jest rejestr czynności przetwarzania danych osobowych?
  • Kontakt
    • SKONTAKTUJ SIĘ Z NAMI
LOGO-min
  • O nas
  • Wdrożenie RODO
  • Nasze usługi
    • Audyt danych osobowych, zgodności RODO
    • Analiza ryzyka
    • Dokumentacja ochrony danych osobowych
      • Dokumentacja RODO w placówkach medycznych
      • Dokumentacja RODO dla biur rachunkowych
    • RODO oferta dla firm
    • RODO w e-commerce
    • Naruszenie ochrony danych osobowych
  • Szkolenie RODO
  • Blog
    • Obowiązki administratora danych osobowych
    • Upoważnienie do przetwarzania danych osobowych
    • Ochrona danych osobowych firmy i informacji poufnych
    • Europejska Rada Ochrony Danych (EROD)
    • Zadania Inspektora ochrony danych
    • Jak prawidłowo wyznaczyć Inspektora ochrony danych?
    • Obowiązki administratora danych osobowych
    • Klauzula informacyjna
    • Zgoda na przetwarzanie danych osobowych w celach marketingowych
    • Przetwarzanie, wykorzystanie i rozpowszechnianie danych osobowych bez zgody
    • Praktyczne problemy z realizacją prawa do usunięcia danych osobowych
    • Dokumentacja pracownicza a RODO – o czym musimy pamiętać?
    • Ochrona danych osobowych pracownika w Internecie
    • Wyciek danych … i co dalej?
    • Co to jest DPIA?
    • Alert RODO – kara za nieumożliwienie przeprowadzenia kontroli
    • Kary za naruszenie RODO np. ujawnianie, czy udostępnianie danych osobowych
    • Praktyczne podejście do art. 32 Rozporządzenia RODO
    • Czym jest monitoring wizyjny?
    • Ochrona danych osobowych a kary RODO
    • Czym jest rejestr czynności przetwarzania danych osobowych?
  • Kontakt
    • SKONTAKTUJ SIĘ Z NAMI

Naruszenie danych osobowych – gdzie zgłosić?

  • 2 kwietnia, 2020
Naruszenie ochrony danych osobowych

To najbardziej niebezpieczne z przekonań. O ile faktycznie atak hakerski na kilkuosobową firmę o niedużych obrotach jest mało prawdopodobny i mikroprzedsiębiorcom raczej nie przydarzy się to, co spotkało spółkę Morele.net (jak do tej pory ukaraną najwyższą kwotą w Polsce), to zwykłej pomyłki nie da się wykluczyć.

Incydentem – bo tak w terminologii rozporządzenia nazywamy zdarzenie narażające firmę na naruszenie przepisów – może być z pozoru niewinna sytuacja. Chyba każda aktywna zawodowo osoba spotkała się w swojej karierze z mailem, który został wysłany do mnóstwa publicznych adresatów, bo nadawca omyłkowo nie wpisał ich do pola UDW (czy z angielska: BCC). A to już incydent, choć sytuacja z pozoru błaha. Czy ktokolwiek może wykluczyć ryzyko takiej pomyłki?

A gdy pracownikowi firmy ktoś ukradnie służbowego laptopa? To kolejny incydent. Czy można to całkowicie wykluczyć? Oczywiście, że nie.

Na czym polega naruszenie ochrony danych osobowych?


Zgodnie z definicją ujętą w art. 4 pkt. 12 Rozporządzenia RODO:

„naruszenie ochrony danych osobowych” – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Typy naruszeń ochrony danych osobowych:


  • naruszenie poufności – polega na ujawnieniu danych osobowych nieuprawnionej osobie;
  • naruszenie dostępności – polega na trwałej utracie lub zniszczeniu danych osobowych;
  • naruszenie integralności – polega na zmianie treści danych osobowych w sposób nieautoryzowany.

Aby zaistniało naruszenie muszą być spełnione łącznie trzy przesłanki:


  • naruszenie musi dotyczyć danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot, którego dotyczy naruszenie;
  • skutkiem naruszenia musi być zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych;
  • naruszenie jest skutkiem złamania zasad bezpieczeństwa danych.

Nie każde naruszenie bezpieczeństwa jest naruszeniem ochrony danych osobowych.

Naruszenie ochrony danych osobowych – kary RODO


Należy pamiętać, iż nie każde naruszenie, wiążę się z nałożeniem administracyjnej kary pieniężnej, która dla przedsiębiorców może wynosić do 4 % obrotów w skali światowej za poprzedni roku obrotowy. Niejednokrotnie bardziej dotkliwą karą jest naprawienie naruszenia ochrony danych osobowych.

KARY RODO w Polsce – zestawienie na dzień 30.03.2020 r.

645 000 EUR – naruszenie w zakresie bezpieczeństwa przetwarzania – link do decyzji
220 000 EUR – naruszenie obowiązku informacyjnego – link do decyzji
47 000 EUR – naruszenie zasad przetwarzania danych – link do decyzji
12 950 EUR – naruszenie podstaw przetwarzania – link do decyzji
9380 EUR – naruszenie w zakresie powierzenia danych – link do decyzji
4600 EUR – naruszenie zasad przetwarzania – link do decyzji

I. Najwyższa kara w Polsce za naruszenie ochrony danych:


Kara ok. 2,8 mln zł – Morele.net – decyzja z dnia 10.09.2019 r. Prezesa Urzędu Ochrony Danych Osobowych o nałożeniu kary (link do decyzji)

Prezes UODO w ramach przeprowadzonego postępowania stwierdził, iż doszło do naruszenia przez Morele.net przepisów rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

Art. 5 ust. 1 lit a) oraz lit. f)
Zasady dotyczące przetwarzania danych osobowych
Dane osobowe muszą być:
a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”)
Art. 5 ust. 2
Zasady dotyczące przetwarzania danych osobowych
Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).
Art. 6 ust. 1
Zgodność przetwarzania z prawem
Przepisy regulujące zgodność przetwarzania z prawem
Art. 7 ust. 1
Warunki wyrażenia zgody
Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.
Art. 24 ust. 1
Obowiązki administratora
Obowiązki administratora

Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
Art. 25 ust. 1
Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania -wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.
Art. 32 ust. 1 lit. b) oraz lit d)
Bezpieczeństwo przetwarzania
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Art. 32 ust. 2
Bezpieczeństwo przetwarzania
Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

W jaki sposób zgłosić naruszenie ochrony danych osobowych (naruszenie RODO)?


Każdy ma prawo poinformować o tym, że dane podlegające obowiązkowi zabezpieczenia uległy naruszeniu. Zawsze, gdy zostały powierzone do przetwarzania czy administrowania w związku ze stosunkiem pracy lub zawarciem transakcji handlowej, ciężar ich ochrony leży po stronie instytucji z jasno określonym schematem postępowania. Odpowiada za nie administrator, wyznaczony przez szefostwo do zawiadywania obszarem RODO. Jeśli już zdarzy się naruszenie danych osobowych, gdzie powinno się zgłosić taki przypadek?

Prezes Urzędu Ochrony Danych Osobowych przedstawia 4 możliwości powiadomienia o naruszeniu ochrony danych osobowych. Mianowicie poprzez:

  • Elektronicznie poprzez wypełnienie dedykowanego formularza elektronicznego dostępnego bezpośrednio na platformie biznes.gov.pl będącego odwzorowaniem formularza dostępnego w załączniku na stronie www.uodo.gov.pl
  • Elektronicznie poprzez wysłanie wypełnionego formularza na elektroniczną skrzynkę podawczą ePUAP: /UODO/SkrytkaESP
  • Elektronicznie poprzez wysłanie wypełnionego formularza (dostępnego w załączniku) za pomocą pisma ogólnego dostępnego na platformie biznes.gov.pl (Jak znaleźć Urząd w formularzu pisma ogólnego?)
  • Tradycyjną pocztą wysyłając wypełniony formularz na adres Urzędu.
Napisz do Nas lub zadzwoń
Zadzwoń teraz: +48 501 161 301
Anna Ozga
Anna Ozga

Audytor Wewnętrzny Systemu Zarządzania Bezpieczeństwem Informacji ISO 27001, Pełnomocnik ds. ISO. Odpowiada m.in. za kompleksowe wdrażanie RODO, wspieranie przedsiębiorców w zakresie zabezpieczania danych w firmie, prowadzenie audytów wewnętrznych.

Najnowsze posty
fałszywy załącznik w mailu
Jak nie dać się oszukać na fałszywy załącznik w mailu?
25 marca 2025
silne i bezpieczne hasło
Jak skonstruować silne i bezpieczne hasło?
25 marca 2025
kontrola uodo
Jak przygotować się na kontrolę UODO w 2025 roku?
25 marca 2025
prywatnosc
Prywatność to nie tylko obowiązek, to inwestycja w przyszłość!
25 marca 2025
Udostępnij
Share on facebook
Share on twitter
Share on google
Dodaj komentarz
Najnowsze posty
Jak nie dać się oszukać na fałszywy załącznik w mailu?
25 marca 2025
Jak skonstruować silne i bezpieczne hasło?
25 marca 2025
Jak przygotować się na kontrolę UODO w 2025 roku?
25 marca 2025
Prywatność to nie tylko obowiązek, to inwestycja w przyszłość!
25 marca 2025
Obowiązki administratora danych w kontekście Ustawy o ochronie sygnalistów
2 października 2024
Polityka prywatności RODO
7 maja 2020
LOGO-biel-min
  • O nas
  • Wdrożenie RODO
  • Nasze usługi
  • Inspektor ochrony danych
  • Polityka prywatności
  • Polityka plików cookie
  • Wersja archiwalna – Polityka prywatności oraz plików cookie
  • Regulamin
  • Blog
  • Kontakt
Menu
  • O nas
  • Wdrożenie RODO
  • Nasze usługi
  • Inspektor ochrony danych
  • Polityka prywatności
  • Polityka plików cookie
  • Wersja archiwalna – Polityka prywatności oraz plików cookie
  • Regulamin
  • Blog
  • Kontakt
Linkedin
© 2024 Wszelkie prawa są zastrzeżone, a właścicielem jest OZGA GROUP Sp. z o.o.

Używamy ciasteczek, aby zapewnić najlepszą jakość korzystania z naszej witryny.

Możesz dowiedzieć się więcej o tym, jakich ciasteczek używamy, lub wyłączyć je w .

RODO w firmie
Powered by  Zgodności ciasteczek z RODO
Przegląd prywatności

Ta strona korzysta z ciasteczek, aby zapewnić Ci najlepszą możliwą obsługę. Informacje o ciasteczkach są przechowywane w przeglądarce i wykonują funkcje takie jak rozpoznawanie Cię po powrocie na naszą stronę internetową i pomaganie naszemu zespołowi w zrozumieniu, które sekcje witryny są dla Ciebie najbardziej interesujące i przydatne.

Ściśle niezbędne ciasteczka

Niezbędne ciasteczka powinny być zawsze włączone, abyśmy mogli zapisać twoje preferencje dotyczące ustawień ciasteczek.

Jeśli wyłączysz to ciasteczko, nie będziemy mogli zapisać twoich preferencji. Oznacza to, że za każdym razem, gdy odwiedzasz tę stronę, musisz ponownie włączyć lub wyłączyć ciasteczka.

Ciasteczka analityczne

Ta strona korzysta z Google Analytics do gromadzenia anonimowych informacji, takich jak liczba odwiedzających i najpopularniejsze podstrony witryny.

Włączenie tego ciasteczka pomaga nam ulepszyć naszą stronę internetową.

Najpierw włącz ściśle niezbędne ciasteczka, abyśmy mogli zapisać twoje preferencje!

Dodatkowe ciasteczka

Ta strona korzysta z następujących dodatkowych ciasteczek: Meta Pixel, Google Ads

Najpierw włącz ściśle niezbędne ciasteczka, abyśmy mogli zapisać twoje preferencje!

Polityka ciasteczek

Więcej informacji o naszej Polityce ciasteczek