.jpeg)
.jpg)
.jpg)
.jpg)
.jpg)
Zarejestruj się i uzyskaj dostęp do licznych narzędzi
Datatilsynet nakłada na Argon Medical Devices karę 2,5M NOK za opóźnienie w powiadomieniu o naruszeniu danych
27/03/2023
Norweski Urząd Ochrony Danych (Datatilsynet) ogłosił w dniu 16 marca 2023 r. swoją decyzję nr 21/03126-13, w której nałożył na firmę Argon Medical Devices, Inc. grzywnę w wysokości 2,5 mln NOK (ok. 220 292 EUR) za naruszenie art. 33 ust. 1 RODO.
.png)
Datatilsynet nakłada na Argon Medical Devices karę 2,5M NOK za opóźnienie w powiadomieniu o naruszeniu danych
Argon Medical Devices, spółka z siedzibą w USA, ucierpiała w wyniku incydentu związanego z bezpieczeństwem cybernetycznym.
Datatilsynet otrzymał komunikat od kancelarii prawnej, w imieniu Argon Medical Devices, stwierdzający, że ta ostatnia doświadczyła incydentu wpływającego na dane osobowe wszystkich pracowników Argon Medical Devices w Europie, w tym jednego pracownika w Norwegii.
Po przeprowadzeniu dochodzenia, Datatilsynet stwierdził, że Argon Medical Devices dowiedział się o przedmiotowym naruszeniu danych osobowych co najmniej 67 dni kalendarzowych przed wysłaniem powiadomienia do Datatilsynet, co spowodowało naruszenie art. 33 ust. 1 GDPR.
Argon Medical Devices wskazywał w postępowaniu, że w ich ocenie nie muszą zgłaszać naruszenia bezpieczeństwa, dopóki nie będą mieli pełnego przeglądu incydentu i wszystkich jego konsekwencji.
Norweski Urząd Ochrony Danych nie zgodził się z oceną Argon. Wskazał, że RODO stanowi, iż 72-godzinny termin na wysłanie powiadomienia zaczyna biec, gdy administrator danych dowie się, że doszło do naruszenia ochrony danych osobowych. Innymi słowy, nie można czekać z wysłaniem takiego powiadomienia, dopóki wszystkie okoliczności naruszenia nie zostaną wyjaśnione.
W tym względzie Datatilsynet zauważył, że postępowanie z naruszeniami Argon Medical Devices ujawnia niektóre z możliwych przyczyn źródłowych nieodpowiednich środków stosowanych przez Argon Medical Devices. Datatilsynet podkreślił na przykład, że Argon Medical Devices systematycznie i w szerokim zakresie polega na konsultantach zewnętrznych w celu ustalenia, czy naruszenie ochrony danych osobowych powinno być zgłoszone w Europie. Datatilsynet wskazał, że taki model zgodności zasadniczo spowalnia proces zgłaszania naruszeń, w szczególności jeśli nie towarzyszą mu jasne instrukcje dla zewnętrznych doradców dotyczące ram czasowych ich oceny, które koniecznie powinny być krótsze niż 72 godziny, aby umożliwić przedsiębiorstwu dotrzymanie terminu określonego w art. 33 ust. 1 GDPR.
Podsumowując, Datatilsynet nałożył na Argon Medical Devices karę w wysokości 2,5 mln NOK, od której można się odwołać w ciągu trzech tygodni od daty otrzymania decyzji przez Argon Medical Devices.
Jeżeli chcesz być informowany na bieżąco o naszych publikacjach dołącz do nas i polub nas na Facebooku https://www.facebook.com/odoserwis.pl.2016/
-----------------------------------------------------
Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl
ZOBACZ W NASZYM SKLEPIE RODO - LINK
.png)
.jpg)
.jpg)
.jpg)
.png)