Poradnik stanowi kompleksowe opracowanie dotyczące naruszeń ochrony danych osobowych, obejmujące definicje, przyczyny, metody zapobiegania i identyfikowania naruszeń, obowiązki administratorów i podmiotów przetwarzających, ocenę ryzyka, a także procedury zgłaszania i zawiadamiania. Dokument zawiera również odniesienia do przepisów RODO i zaleceń organów nadzorczych. 7 lat temu UODO po raz pierwszy opublikował poradnik dotyczący naruszeń ochrony danych osobowych. Nowa wersja poradnika dotyczącego naruszeń danych osobowych jest jeszcze bardziej praktyczna

Analizujemy jakie przepisy RODO naruszyło Centrum Medyczne Ujastek sp. z o.o. w związku ze stosowaniem monitoringu. Na co należy zwrócić uwagę i o spełnienie jakich wymogów prawnych należy zadać aby zapobiec naruszeniom RODO w sytuacji gdy stosowany jest monitoring

Toyota Bank Polska S.A. profilowała dane klientów, żeby określić ich zdolność kredytową. Nie uwzględniła jednak tej kwestii w rejestrze czynności przetwarzania danych. Było to jednak dopiero pierwsze z zaniedbań w zakresie RODO, które Prezes PUODO stwierdził podczas kontroli. Kolejne naruszenie dotyczyło braku niezależności Inspektora ochrony danych. W konsekwencji PUODO nałożył na bank wysoką karę pieniężną za naruszenia RODO

Przy przebudowie strony internetowej Panek SA omyłkowo udostępniono dane osobowe prawie 21,5 tysiąca klientów oraz pracowników. Spółka zawiadomiła o incydencie PUODO, jednocześnie twierdząc, że odpowiedzialność za całe zajście ponosi firma zapewniająca obsługę informatyczną. PUODO nałożył jednak karę administracyjną nie tylko na podwykonawcę, ale także na Panek SA.

Szpital Powiatowy we Wrześni ujawnił osobie trzeciej dane osobowe swojej pacjentki. Nie zawiadomił jednak PUODO o tym incydencie. Z kolei samą pacjentkę wprawdzie poinformował o naruszeniach, ale zrobił to zdecydowanie za późno. Z tego powodu Prezes UODO nałożył na szpital karę administracyjną wysokości 29.648 złotych

Chorągiew Stołeczna ZHP zapłaci 24.555 zł kary za naruszenia w zakresie danych osobowych. Jako administrator danych osobowych wprawdzie przeprowadziła analizę ryzyka. Nie testowała jednak, nie mierzyła i nie oceniała regularnie skuteczności wdrażanych rozwiązań. Z tego powodu nie wdrożyła potrzebnych środków technicznych i organizacyjnych

Powiatowy Inspektorat Nadzoru Budowlanego w Częstochowie otrzymał administracyjną karę pieniężną wysokości 25 tysięcy złotych. Utrzymywał wprawdzie, że wyznaczył inspektora ochrony danych. Zdaniem Prezesa UODO nie był jednak w stanie przedstawić dowodów, które jednoznacznie by to potwierdzały

W wyniku ataku hakerskiego firma sprzedająca drzwi antywłamaniowe utraciła dostęp do danych osobowych swoich klientów oraz pracowników. Choć incydent trwał krótko, a dane udało się odzyskać, to w tej sprawie doszło aż do kilku uchybień z zakresu RODO. Przede wszystkim firma nie wdrożyła środków technicznych i organizacyjnych, które zminimalizowałyby ryzyko utraty dostępu do danych. Prezes UODO nałożył więc na nią karę ponad 350 tysięcy złotych

2 instytucje miejskie w Kutnie naruszyły przepisy o ochronie danych osobowych. W trakcie prac związanych z przeniesieniem danych osobowych MOPS i MOSiR do nowego systemu kadrowo-płacowego doszło do incydentu. Dane osobowe ponad 1500 osób trafiły w ręce osoby trzeciej. Prezes UODO nałożył na MOPS i MOSiR w Kutnie kary wysokości 15 i 20 tysięcy złotych, a na firmę odpowiedzialną za transfer danych – karę 24 tysięcy złotych

2 zaskarżone decyzje Prezesa UODO nakładające kary związane z naruszeniami z zakresu RODO zostały podtrzymane przez sądy. W efekcie spółka Morele.net musi zapłacić aż 3,8 mln złotych, a Prezes Sądu Rejonowego w Zgierzu – 10 tysięcy złotych

Dla wielu administratorów danych osobowych zgłoszenie naruszenia ochrony danych do organu nadzorczego, zgodnie z art. 33 RODO, może wydawać się dodatkowym obciążeniem administracyjnym. Niektórzy mogą też obawiać się, że zgłoszenie naruszenia automatycznie spowoduje nałożenie kar finansowych przewidzianych w art. 83 RODO

Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył na mBank karę w wysokości ponad 4 milionów złotych za niezgłoszenie klientom wycieku danych osobowych, co stanowi naruszenie przepisów RODO. Podstawą do nałożenia kary był incydent bezpieczeństwa polegający na tym, że dane osobowe grupy klientów mBanku zostały przypadkowo przekazane nieuprawnionemu odbiorcy

Samodzielny Publiczny ZOZ Pajęczno nie tylko nie zadbał o prawidłowe zabezpieczenie danych osobowych. O ataku hakerskim na dane pacjentów i o naruszeniu ochrony danych osobowych nie poinformował też osób, których te dane dotyczyły

Niedawny cyberatak na American Heart of Poland skutkował wyciekiem danych osobowych około 21 tysięcy osób. Według ustaleń UODO cyberatak był możliwy m.in. z uwagi na zaniedbania w zakresie cyberbezpieczeństwa. Z tego powodu nałożył na spółkę karę za naruszenie ochrony danych osobowych wysokości aż 1 440 549 złotych

Kary finansowe w wysokości 1 mln 440 tys. dla Santander Bank Polska S.A. zł i 78 tys. zł dla Toyota Bank Polska S.A. nałożone zostały za niezgłoszenie naruszeń związanych z ochroną danych

CNIL, francuski organ ochrony danych osobowych ogłosił, że prowadzi dochodzenia w sprawie poważnego naruszenia bezpieczeństwa danych, które dotknęło operatorów Viamedis i Almerys. Oba podmioty są odpowiedzialne za zarządzanie płatnościami na rzecz osób trzecich dla licznych towarzystw ubezpieczeń zdrowotnych i wzajemnych.

Prezes Urzędu Ochrony Danych Osobowych podjął decyzję dotyczącą ponownego przeanalizowania naruszenia RODO przez firmę Morele.net, związaną z dużym wyciekiem danych. W efekcie tego incydentu, administrator został ponownie ukarany, a kara wyniosła ponad 3,8 mln zł.

Firma ta znalazła się w centrum uwagi po ujawnieniu w dniu wczorajszym poważnych luk w systemie elektronicznym, co doprowadziło do potencjalnego wycieku danych pacjentów.

UODO nałożył karę w wysokości 100 tysięcy złotych na Ministra Zdrowia za ujawnienie informacji dotyczących stanu zdrowia konkretnej osoby.

W dniu 27 listopada 2023 r. ALAB opublikował komunikat o możliwości naruszenia ochrony danych osobowych w związku z incydentem bezpieczeństwa w postaci ataku hakerskiego. Incydent ten jest wynikiem działalności ransomware, mającej na celu wymuszenie na spółce okupu.