Udostępnianie treści video - kara za brak zgłoszenia naruszenia

Jaki płynie wniosek dla administratorów z nałożonej przez PUODO kary na Śląski Uniwersytet Medyczny?

Podkreślić należy w pierwszej kolejności, z czym się spotykamy już któryś raz, że organ bardzo mocno akcentuje i podkreśla fakt zaniechania przez administratora zawiadomienia o wystąpieniu naruszenia ochrony danych zarówno organu, jak i osób, których dane dotyczyły. Podobny problem wystąpił w innej sprawie o której pisaliśmy tutaj. Można pokusić się o stwierdzenie, że administratorzy bagatelizują obowiązki związane z obowiązkiem zgłoszenia naruszenia ochrony danych osobowych. Tym razem wysokość kary wynosi 25 000zł. 

Jak wiemy, RODO wymaga, że w przypadku wystąpienia naruszenia administrator winien podjąć działania, których skutkiem może być albo dokonanie zgłoszenia organowi nadzorczemy i podmiotom danych, których dane dotyczą albo zaniechanie tym obowiązkom sądząc, że sprawa rozejdzie się po kościach. 

Przypomnijmy zatem obowiązki administratorów w zakresie zgłaszania naruszeń ochrony danych osobowych. 

Aby mówić o naruszeniu musimy w pierwszej kolejności ustalić, że naruszenie dotyczy danych osobowych przetwarzanych przez podmiot, którego dotyczy naruszenie. Naruszenie ochrony danych osobowych może być następstwem różnorodnych zdarzeń, w tym zachowań zawinionych czy też nie zawinioncych, wreszcie działaniem o charakterze przstępczym lub będące wynikiem zdarzeń losowych. Skutkiem owego naruszenia jest nieuprawnione ujawnienie danych osobowych. Przez nieuprawnione ujawnienie ponownie będziemy rozumień wszelkie zdarzenia, w wyniku których dane osobowe dostały się w niepowołane ręce i osoby nieuprawnione uzyskały dostęp do tych danych. Na marginesie pamiętajmy, że naruszeniem będzie także zniszczenie danych ale o tym innym razem. 

Grupa Robocza Art. 29 w Wytycznych dotyczących zgłaszania naruszeń ochronych danych osobowych wyróżnia trzy typy naruszęń ochrony danych osobowych:

  1. Naruszenie poufności polegające na ujawnieniu danych osobowych nieuprawnionej osobie 
  2. Naruszenie dostępności, którego skutkiem jest czasowa lub trwała utrata lub znieszczenia danych osobowych 
  3. Naruszenie integralności, czyli zmiana treści danych osobowych  

Administrator powinien:

Jeżeli okaże się, że nie ma prawdopodobieństwa wystąpienia ryzyka naruszenia praw i wolności osób fizcyznych, administrator nie ma obowiązku powiadamiania organu o naruszeniu. Konieczne będzie jednak wykazanie tego faktu i na żądanie organu wyjaśnienie powodow braku zawiadomienia. 

Jak te rozważania mają się do kary nałożonej na Śląski Uniwersytet Medyczny?

Naruszenie nastąpiło w związku z prowadzeniem egzaminów na platformie video, a skutkiem naruszenia była dostępność materiałów video dla osób nieupoważnionych do przetwarzania tych danych. Ponadto, uczelnia nie poinformowała osób, których dane dotyczą o wystąpieniu naruszenia, uznając wcześniej, że nie było także potrzeby zawiadamiania organu. 

Organ zaznaczył, że pomimo tego, że dostęp do pliku miąło 26 nieuprawnionych osób to nie można określić co mogło stać się dalej z tymi nagraniami, z uwagi na to, że każdy kto miał dostęp do linka mógł ten plik dalej przesłać. 

KOMENTARZE
* pola wymagane
CZYTAJ RÓWNIEŻ

Przetwarzanie danych osobowych w ramach Zakładowego Funduszu Świadczeń Socjalnych (dalej: fundusz) wymaga szczególnej uwagi  administratorów. Wynika to z jednej strony z tego, że w ramach Funduszu przetwarzane mogą być dane szczególnych kategorii, o których mowa w art. 9 RODO, a poza tym, ustawa z dnia 4 marca 1994r. o zakładowym funduszu świadczeń socjalnych zawiera przepisy szczególne dotyczące przetwarzania danych osobowych na potrzeby udzielania świadczeń z funduszu. 

CZYTAJ DALEJ

Pracodawca ma prawo żądać i zbierać informacje o pobycie pracowników za granicą w stanie epidemii SARS-CoV-2 - tak prawomocnie wskazał Sąd Okręgowy w Olsztynie w wyroku z 29 stycznia 2021r. sygn. akt. IV Pa 79/20. To ciekawe orzeczenie zapadło w okolicznościach sprawy, w której pracownik został zwolniony w trybie dyscyplinarnym ze względu na zatajenie przed pracodawcą tego, że odbył podróż zagraniczną w okresie epidamii. 

CZYTAJ DALEJ

Wyrok Schrems II wydany przez Trubunał Sprawiedliwości UE w dniu 16 lipca 2020r. jest rozstrzygnięciem, którego skutkiem jest zmiana zasad transferu danych osobowych do USA. I aby być bardziej dosadnym, zmiana ta polega na bardzo dużym utrudnieniu tego transferu z uwagi na rozstrzygnięcie TSUE. 

Wyrok w sprawie C-311/18 Data Protection Commissioner przeciwko Facebook Irealnd Ltd nie pozostawia wątpliwości, że Unii zależy na wysokich standardach ochrony danych osobowych w odniesieniu do przekazywania danych osobowych do państw trzecich. 

 

CZYTAJ DALEJ