Szyfrowanie danych - zabezpieczaj dane "odpowiednio"!

Szyfrowanie danych - zabezpieczaj dane "odpowiednio"!

Na koniec zeszłego roku nagłówki zawierające słowo „wyciek” zdominowała uczelnia SGGW (Szkoła Główna Gospodarstwa Wiejskiego w Warszawie), która była odmieniana przez wszystkie przypadki. Dlaczego? Jak się okazało, laptop jednego z pracowników SGGW został skradziony przez nieznanego sprawcę. Na dysku miały znajdować się dane osobowe tysięcy osób, ale jak się raczej doliczono, były to dane kilkunastu, kilkudziesięciu tysięcy osób.

              Pierwsze światło zarzutów zostało rzucone w stronę działu IT uczelni jako odpowiedzialnego m. in. za bezpieczne korzystanie z komputerów przenośnych. Szybko zweryfikowano, że niesłusznie, gdyż był to laptop prywatny, a więc kopiowanie na niego danych miało miejsce z pominięciem uczelnianych procedur. Pamiętajmy, że kradzież komputerów miała, ma i będzie miała miejsce. Jednak w takim przypadku zawsze pojawia się pytanie: „czy dane były zaszyfrowane?” I tutaj, niestety, odpowiedź była przecząca.

              Należy zauważyć, że rozpoczęcie stosowania Ogólnego rozporządzenia o ochronie danych (dalej: RODO) zmieniło podejście do stosowanych zabezpieczeń. Uchylone Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczny służące do przetwarzania danych osobowych przewidywało
np. hasło składające się z co najmniej 8 znaków zawierających małe i wielkie litery oraz cyfry lub znaki specjalne, gdy rozporządzenie wymagało stosowania środków bezpieczeństwa na poziomie podwyższonym. RODO nakierowuje wybór zabezpieczeń w stronę Administratora (danych osobowych), i tak w art. 24 ust. 1 stanowi, że:

Uwzględniając charakter, zakres kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom
i uaktualniane.”

Dodać tutaj należy jeszcze art. 32 RODO:

1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

a) pseudonimizację i szyfrowanie danych osobowych;

b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów
i usług przetwarzania;

c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.”

Żeby właściwie rozkodować powyższe normy, trzeba zauważyć, że to Administrator powinien wybrać jakie zabezpieczenia zastosować, ponieważ zna swoją organizację najlepiej (a potem być w stanie dowieść słuszności wyboru zgodnie z zasadą rozliczalności). Tego wyboru najlepiej dokonać w oparciu o przeprowadzoną analizę ryzyka, która wykaże m. in. newralgiczne punkty (aktywa/czynności na danych osobowych), które wymagają zastosowania podwyższonego poziomu zabezpieczeń. Katalog zabezpieczeń jest otwarty, ale prawodawca zdecydował się, by w szczególności wymienić szyfrowanie danych osobowych, więc tym bardziej powinien to być znak dla Administratorów, by zwrócić szczególną uwagę na to zabezpieczenie i wdrożyć je, gdy zachodzi taka potrzeba. Warto też pamiętać, że po wdrożeniu zabezpieczenia, powinno nastąpić jego monitorowanie poprzez regularnie testowanie, mierzenie i ocenianie. O tym elemencie często się zapomina.

              Zauważenie skali wycieku, wymaga wyliczenia rodzaju danych osobowych, które były przetwarzane (rzecz dotyczy prowadzonych postępowań rekrutacyjnych): imię (imiona) i nazwisko, nazwisko rodowe, imiona rodziców, płeć, narodowość, obywatelstwo, adres zamieszkania, PESEL, seria i numer dowodu osobistego/paszportu, nr telefonu komórkowego i stacjonarnego, ukończona szkoła średnia, miejscowość szkoły średniej, rok ukończenia szkoły średniej, numer i data świadectwa ukończenia szkoły średniej, organ wydający świadectwo, rok matury i data świadectwa maturalnego, organ wydający świadectwo maturalne, wyniki uzyskane na egzaminie maturalnym, ukończone studia, ukończona uczelnia, ukończony kierunek studiów, ocena na dyplomie, średnia ze studiów, kierunek studiów o który kandydat się ubiega, dane szkoły średniej, informacja o zakwalifikowaniu na studia, punkty kwalifikacyjne kandydata, zbieżność kierunku studiów ukończonego z tym o który się kandydat ubiega, zdjęcia kandydatów. Jest to relatywnie szeroki katalog danych osobowych, który bez większych problemów pozwala na zaciąganie zobowiązań w imieniu osób, których dane dotyczą, okradnięcie rachunków bankowych, uwierzytelnienie na infolinii czy wyrobienie duplikatu karty SIM.

              Co w tej sytuacji można zrobić? Najważniejszym krokiem jest złożenie wniosku o wyrobienie nowego dowodu osobistego (można to zrobić przez Internet). Następnymi mogą być zastrzeżenie dowodu w banku czy skorzystanie z usługi powiadomienia czy na wskazane dane nie został założony rachunek. Zaleca się również zmianę numeru telefonu, który jest podpięty do rachunku bankowego. To są działania, tylko i aż, minimalizujące wspomniane wcześniej ryzyka.

              Ze swojej strony chciałbym zwrócić uwagę, że w każdym takim przypadku zajmujemy się skutkiem, a nie przyczyną. Skoro wiemy, że nasze dane prawdopodobnie już w jakimś zakresie wyciekły, to należy zastanowić się nad tym jakie drogi otwierają konkretne dane osobowe. Gdyby katalog danych nie dawał takich możliwości albo byłyby one bardzo ograniczone, to nie istniałby taki popyt na ich wykradanie. A tak, dzisiaj za sprawą m. in. słabej weryfikacji tożsamości czy łatwości w zaciąganiu chociażby tzw. „chwilówek”, jest to proceder niezbyt skomplikowany, a więc atrakcyjny w oczach osób, które się nim zajmują.

              Niedługo po tym jak się dowiedzieliśmy o kradzieży, znaleziono sprawców. Okazało się, że działali wyłącznie dla zysku poprzez szybkie pozbywanie się skradzionego sprzętu np. w lombardzie. A przecież wiemy, że znajdujące się dane na laptopie były warte o wiele więcej. To po raz kolejny dowodzi, że dane osobowe są dzisiaj walutą.

              W tej historii z jednej strony ukazuje się zwodnicze podejście na zasadzie, że nic złego się nie wydarzy (choć praca na prywatnym komputerze nie jest kontrolowanym środowiskiem), to z drugiej strony trzeba zauważyć, że uczelnia nie zamiotła sprawy pod dywan. Incydenty i naruszenia się zdarzają i zdecydowanie uczciwiej jest wziąć za nie odpowiedzialność niż tłumaczyć się dlaczego zostały one przemilczane (pod warunkiem, że się o nich dowiedzieliśmy). Co więcej, taka reakcja jest obowiązkiem Administratora, a w stosownych przypadkach należy poinformować również Urząd Ochrony Danych Osobowych, a gdy ryzyko naruszenia praw i wolności osób jest wysokie, także osoby, których dane dotyczą.

              Odpowiednie zabezpieczanie danych osobowych może dzisiaj stanowić kapitał. Gdy dochodzi do takiego naruszenia ochrony danych osobowych (zwłaszcza medialnego), organizacja może bardzo ucierpieć wizerunkowo. Warto więc dbać, by osoba (np. klient) miała poczucie, że jej dane będą bezpiecznie przechowywane.

              Rynek dostarcza dzisiaj wiele rozwiązań w zakresie szyfrowania danych (również bezpłatnych). Niekorzystanie z nich, może okazać się poważnym błędem.

 

Autor: Patryk Makowski, Inspektor Ochrony Danych, Kierownik Projektu w CompNet Sp. z o.o.

Czym może się zakończyć utrudnianie wycofania zgody do przetwarzania danych osobowych?

Czym może się zakończyć utrudnianie wycofania zgody do przetwarzania danych osobowych?

Tym razem Prezes UODO nałożył karę pieniężną  m.in. za utrudnianie realizacji prawa do wycofania zgody na przetwarzanie danych osobowych. To kolejna kara w dość krótkim czasie. Dlaczego ukarano Spółkę, na jaką kwotę oraz na które paragrafy z ustawy należy zwrócić szczególną uwagę, by uniknąć kary?

Ukarana przez Prezesa UODO spółka nie wdrożyła odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby łatwe i skuteczne wycofanie zgody na przetwarzanie danych osobowych oraz realizację prawa do żądania usunięcia danych osobowych (prawa do bycia zapomnianym). Naruszyła więc określone w RODO zasady zgodności z prawem, rzetelności i przejrzystości przetwarzania danych osobowych.

Więcej dowiesz się tutaj

Źródło: Urząd Ochrony Danych Osobowych, https://uodo.gov.pl/pl

 

RODO: Pierwsza kara dla podmiotu publicznego!

RODO: Pierwsza kara dla podmiotu publicznego!

Prezes UODO nałożył pierwszą karę pieniężną na podmiot publiczny. Jednostki samorządu terytorialnego też muszą się liczyć z karą za nieprzestrzeganie RODO.

Jednym z powodów nałożenia kary w wysokości 40 tys. na burmistrza miasta było to, że nie zawarł umowy powierzenia przetwarzania danych osobowych z podmiotami, którym przekazywał dane.

Umowa powierzenia nie została zawarta z firmą, na której serwerach znalazły się zasoby Biuletynu Informacji Publicznej (BIP) Urzędu Miejskiego w Aleksandrowie Kujawskim. Takiej umowy nie zawarto również z inną firmą, która dostarczała oprogramowanie do stworzenia BIP i zajmowała się obsługą serwisową w tym zakresie. Prezes UODO uznał więc, że doszło do naruszenia art. 28 ust. 3 RODO.

Więcej informacji znajdziesz tutaj

Źródło: Urząd Ochrony Danych Osobowych, https://uodo.gov.pl/pl

 

Choroby zawodowe a Ochrona Danych Osobowych

Choroby zawodowe a Ochrona Danych Osobowych

Czy pracodawca ma obowiązek zgłaszać podejrzenie choroby zawodowej pracownika? Czy lekarz ma prawo przekazywać wyniki badań pracownika pracodawcy, w tym dotyczące podejrzenia lub rozpoznania chorób zawodowych?

1. Czy pracodawca ma obowiązek zgłaszać podejrzenie choroby zawodowej pracownika?

Obowiązek taki przewidziano w art. 235. § 1. Pracodawca jest obowiązany niezwłocznie zgłosić właściwemu państwowemu inspektorowi sanitarnemu i właściwemu okręgowemu inspektorowi pracy każdy przypadek podejrzenia choroby zawodowej.

Przy czym należy zauważyć:

Obowiązki pracodawcy zawarte w art. 235 KP dotyczą dwóch różnych sytuacji: podejrzenia choroby zawodowej oraz rozpoznania choroby zawodowej. Po pierwsze, gdy tylko wystąpi podejrzenie choroby zawodowej pracodawca obowiązany jest dokonać zgłoszenia tego faktu właściwemu państwowemu inspektorowi sanitarnemu i właściwemu okręgowemu inspektorowi pracy. Ustawodawca nie sprecyzował jednak, co należy rozumieć przez pojęcie występowania podejrzenia choroby zawodowej. Należy założyć, że chodzi o takie sytuacje, w których zespół objawów występujących u pracownika jest nie tylko widoczny, ale i dość typowy. Pracodawca może uzyskać również informacje na temat tego podejrzenia od osób świadczących pomoc medyczną na terenie zakładu pracy.
W przypadku gdy nastąpiło rozpoznanie choroby zawodowej, pracodawca powinien podjąć działania zmierzające do wyeliminowania ryzyka, które spowodowało to zachorowanie. W tym celu obowiązany jest ustalić przyczyny powstania choroby zawodowej oraz charakter i rozmiar zagrożenia tą chorobą, działając w porozumieniu z właściwym państwowym inspektorem sanitarnym. Jak tylko zostaną zdiagnozowane czynniki powodujące powstanie choroby zawodowej, powinien zastosować wszelkie dostępne mu środki zapobiegawcze i zapewnić realizację zaleceń lekarskich.
(źródło: Kodeks pracy. Komentarz red. Sobczyk 2018, wyd. 4/Dörre-Kolasa).

2. Jeżeli podejrzenie występowania choroby zawodowej u pracownika następuje w wyniku badań przeprowadzonych na skierowanie pracodawcy obowiązek taki spoczywa na lekarzu.

Art. 235 § 2. Obowiązek, o którym mowa w § 1, dotyczy także lekarza podmiotu właściwego do rozpoznania choroby zawodowej, o którym mowa w przepisach wydanych na podstawie art. 237 § 1 pkt 6.

oraz

Zgodnie z art. 235 § 21 W każdym przypadku podejrzenia choroby zawodowej:

1) lekarz,

2) lekarz dentysta, który podczas wykonywania zawodu powziął takie podejrzeniu pacjenta

– kieruje na badania w celu wydania orzeczenia o rozpoznaniu choroby zawodowej albo o braku podstaw do jej rozpoznania.

W takiej sytuacji, zawiadomienia takiego nie dokonuje pracodawca w związku z faktem, iż nie ma uprawnień do uzyskania dostępu do dokumentacji medycznej od lekarza wykonującego badania ani tym bardziej wydawania opinii na jej podstawie, w związku z czym nie ma możliwości powzięcia informacji o podejrzeniu choroby zawodowej.

3. Czy lekarz ma prawo przekazywać wyniki badań pracownika pracodawcy, w tym dotyczące podejrzenia lub rozpoznania chorób zawodowych?

NIE – gdyż jest to dokumentacja medyczna.

Zgodnie z Rozporządzeniem Ministra Zdrowia z dnia 1 sierpnia 2002 r. w sprawie sposobu dokumentowania chorób zawodowych i skutków tych chorób:

§ 2. 1. Dokumentacja medyczna dotycząca chorób zawodowych obejmuje:

1) dokumentację indywidualną, którą stanowi karta badania w związku z chorobą zawodową;

2) dokumentację zbiorczą, którą stanowi księga podejrzeń oraz rozpoznań chorób zawodowych.

3.5) Prowadzenie, przechowywanie i udostępnianie kart badań w związku z chorobą zawodową, określają przepisy wydane na podstawie art. 30 ust. 1 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta.

4. Dane umieszczane w księdze podejrzeń oraz rozpoznań chorób zawodowych oraz sposób jej prowadzenia i przechowywania, określają przepisy w sprawie rodzajów dokumentacji medycznej służby medycyny pracy oraz sposobu jej prowadzenia i przechowywania.

Zgodnie z ustawą z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, dostęp do dokumentacji medycznej posiada pacjent, osoby upoważnione przez pacjenta, osoby bliskie pacjenta w określonych ustawą przypadkach oraz podmioty, o których mowa w art. 26 ust. 3 i ust. 4.

Uprawnienie to w żadnym z powyższych przypadków nie przysługuje pracodawcy.

Lekarz, udostępniając pracodawcy wynik badań pracownika, narusza ustawę z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta w zakresie nieuprawnionego udostępnienia dokumentacji medycznej oraz przepisy dotyczące ochrony danych osobowych, gdyż dochodzi do nieuprawnionego udostępnienia danych osobowych, w tym szczególnych kategorii danych osobowych.

4. W jakiej sytuacji pracodawca zostaje poinformowany, czy też uczestniczy w postępowaniu w związku ze zgłoszeniem podejrzenia choroby zawodowej?

Zgodnie z § 4 ust. 1 Rozporządzenia Rady Ministrów z dnia 30 czerwca 2009 r. w sprawie chorób zawodowych

Właściwy Państwowy powiatowy inspektor sanitarny, który otrzymał zgłoszenie podejrzenia choroby zawodowej, wszczyna postępowanie, a w szczególności kieruje pracownika lub byłego pracownika, którego dotyczy podejrzenie, na badanie w celu wydania orzeczenia o rozpoznaniu choroby zawodowej albo o braku podstaw do jej rozpoznania, do jednostki orzeczniczej, o której mowa w § 5 ust. 2.

§ 6 ust. 1. Lekarz, o którym mowa w § 5 ust. 1, wydaje orzeczenie o rozpoznaniu choroby zawodowej albo o braku podstaw do jej rozpoznania, zwane dalej „orzeczeniem lekarskim”, na podstawie wyników przeprowadzonych badań lekarskich i pomocniczych, dokumentacji medycznej pracownika lub byłego pracownika, dokumentacji przebiegu zatrudnienia oraz oceny narażenia zawodowego.

Ust. 5. Jeżeli zakres informacji zawartych w dokumentacji, o której mowa w ust. 1, jest niewystarczający do wydania orzeczenia lekarskiego, lekarz występuje o ich uzupełnienie do pracodawcy — w zakresie obejmującym przebieg oraz organizację pracy zawodowej pracownika lub byłego pracownika, w tym pracę w godzinach nadliczbowych, dane o narażeniu zawodowym, obejmujące także wyniki pomiarów czynników szkodliwych wykonanych na stanowiskach pracy, na których pracownik był zatrudniony, stosowane przez pracownika środki ochrony indywidualnej, a w przypadku narażenia pracownika na czynniki o działaniu uczulającym (alergenów) — także o przekazanie próbki substancji, w ilości niezbędnej do przeprowadzenia badań diagnostycznych.

Na podstawie wskazanych przepisów, pracodawca zostaje powiadomiony oraz zobowiązany do udzielenia wskazanych informacji w toku prowadzonego postępowania, w celu wydania orzeczenia o rozpoznaniu choroby zawodowej albo o braku podstaw do jej rozpoznania. Proszę zwrócić uwagę, że nigdzie nie ma wzmianki w przepisie, jakoby od pracodawcy wymagane było przekazanie wyników badań lekarskich lub jakiejkolwiek dokumentacji medycznej dotyczącej pracownika.

Wszelka dokumentacja, przekazywana od lekarza właściwego w sprawie orzekania w zakresie chorób zawodowych, na tym etapie postępowania jest zachowywana w celach dowodowych oraz archiwizowana zgodnie z przepisami, przez pracodawcę.

5. Jakie inne obowiązki spoczywają na pracodawcy w związku ze stwierdzeniem choroby zawodowej pracownika?

Zgodnie z § 8 ust. 1 Rozporządzenia Rady Ministrów z dnia 30 czerwca 2009 r. w sprawie chorób zawodowych

– Decyzję o stwierdzeniu choroby zawodowej albo decyzję o braku podstaw do stwierdzenia choroby zawodowej wydaje się na podstawie materiału dowodowego, a w szczególności danych zawartych w orzeczeniu lekarskim oraz formularzu oceny narażenia zawodowego pracownika lub byłego pracownika.

– ust. 3, pkt. 2 Właściwy państwowy powiatowy inspektor sanitarny przesyła decyzję, o której mowa
w ust. 1, pracodawcy lub pracodawcom zatrudniającym pracownika w warunkach, które mogły spowodować skutki zdrowotne uzasadniające postępowanie w sprawie rozpoznania i stwierdzenia choroby zawodowej;

Pracodawca, po otrzymaniu niniejszej decyzji, ma obowiązek zawiadomić instytut prowadzący Rejestr chorób zawodowych i rejestr skutków tych chorób, zgodnie ze wzorem określonym w załączniku nr 10 do Rozporządzenia Ministra Zdrowia z dnia 1 sierpnia 2002 r. w sprawie sposobu dokumentowania chorób zawodowych i skutków tych chorób. Obowiązek wysłania zawiadomienia przez pracodawcę, zgodnie z załącznikiem nr 10, wynika z objaśnienia do załącznika.

Pracodawca, zgodnie z art. 235 § 4, ma obowiązek prowadzić rejestr obejmujący przypadki stwierdzonych chorób zawodowych i podejrzeń o takie choroby.


WNIOSKI:

  1. Jeżeli podejrzenie wystąpienia choroby zawodowej pracownika następuje w wyniku badań prowadzonych przez lekarza medycyny pracy lub innego specjalistę, obowiązek dokonania powiadomienia podmiotów, o których mowa w art. 235 Kodeksu pracy, spoczywa na lekarzu.
  2. Lekarz nie ma podstawy prawnej do przekazywania pracodawcy dokumentacji medycznej (w tym wyników badań pracownika). Podmioty właściwe w celu dokonania zawiadomienia podejrzenia choroby zawodowej, zostały wskazane w art. 235 Kodeksu pracy.
  3. Lekarz, przekazując pracodawcy wyniki badań oraz inną dokumentację związaną z rozpoznaniem lub podejrzeniem choroby zawodowej, narusza przepisy ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, w zakresie udostępniania dokumentacji medycznej oraz przepisy o ochronie danych osobowych w zakresie nieuprawnionego udostępnienia danych osobowych, w tym szczególnych kategorii danych.
  4. Wszelka dokumentacja medyczna, przekazana pracodawcy przez lekarza bezpodstawnie, powinna zostać zwrócona do podmiotu medycznego, który ją sporządził.
  5. Pracodawca jest zobowiązany udzielić informacji, współpracować i przechowywać dokumentację przekazaną przez lekarza właściwego do orzekania w sprawie chorób zawodowych oraz Państwowy Inspektorat Sanitarny w toku postępowania o wydanie orzeczenia o rozpoznaniu choroby zawodowej lub braku podstaw do jej rozpoznania.
  6. Po otrzymaniu decyzji Państwowego Inspektoratu Sanitarnego o stwierdzeniu choroby zawodowej, pracodawca ma obowiązek zawiadomić instytut właściwy w celu prowadzenia rejestru chorób zawodowych i rejestru skutków tych chorób, zgodnie ze wzorem określonym w załączniku nr 10 do Rozporządzenia Ministra Zdrowia z dnia 1 sierpnia 2002 r. w sprawie sposobu dokumentowania chorób zawodowych i skutków tych chorób.
  7. Pracodawca ma obowiązek prowadzić ewidencję przypadków podejrzenia lub stwierdzenia choroby zawodowej, zgodnie z art. 235 § 4 Kodeksu pracy.

Autor: Piotr Kropidłowski, Inspektor Ochrony Danych,
Kierownik Projektu w CompNet Sp. z o. o.

Podstawa prawna:

  • Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy
  • Rozporządzenie Rady Ministrów z dnia 30 czerwca 2009 r. w sprawie chorób zawodowych
  • Obwieszczenie Ministra Zdrowia z dnia 29 lipca 2013 r. w sprawie ogłoszenia jednolitego tekstu rozporządzenia Ministra Zdrowia w sprawie sposobu dokumentowania chorób zawodowych i skutków tych chorób
  • Ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta
  • Rozporządzenie Ministra Zdrowia z dnia 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania

© Copyright by CompNet Sp. z o. o.

RODO. Jest pierwsza kara i od razu na milion zł...

RODO. Jest pierwsza kara i od razu na milion zł...

Jak podaje portal money.pl, milion złotych kary za złamanie przepisów o ochronie danych osobowych otrzymała firma, która przetwarza ogólnodostępne w internecie dane. To pierwsza kara w związku z RODO.

Firma z Warszawy dostała milion zł kary za złamanie RODO. Nie poinformowała o przetwarzaniu danych. “Rzeczpospolita” dotarła do szczegółów postępowania. Z decyji wydanej 15 marca wynika, że warszawska spółka gromadząca ogólnodostępne w internecie dane osób prowadzących działalność (podane przez nich w CEiDG KRS, GUS, CEPiK, Monitorze Sądowym i Gospodarczym) tworzyła z tego bazy danych, pozwalające na weryfikację wiarygodności tych podmiotów.

źródło: money.pl