Udostępnianie treści video - kara za brak zgłoszenia naruszenia

Jaki płynie wniosek dla administratorów z nałożonej przez PUODO kary na Śląski Uniwersytet Medyczny?

Podkreślić należy w pierwszej kolejności, z czym się spotykamy już któryś raz, że organ bardzo mocno akcentuje i podkreśla fakt zaniechania przez administratora zawiadomienia o wystąpieniu naruszenia ochrony danych zarówno organu, jak i osób, których dane dotyczyły. Podobny problem wystąpił w innej sprawie o której pisaliśmy tutaj. Można pokusić się o stwierdzenie, że administratorzy bagatelizują obowiązki związane z obowiązkiem zgłoszenia naruszenia ochrony danych osobowych. Tym razem wysokość kary wynosi 25 000zł. 

Jak wiemy, RODO wymaga, że w przypadku wystąpienia naruszenia administrator winien podjąć działania, których skutkiem może być albo dokonanie zgłoszenia organowi nadzorczemy i podmiotom danych, których dane dotyczą albo zaniechanie tym obowiązkom sądząc, że sprawa rozejdzie się po kościach. 

Przypomnijmy zatem obowiązki administratorów w zakresie zgłaszania naruszeń ochrony danych osobowych. 

Aby mówić o naruszeniu musimy w pierwszej kolejności ustalić, że naruszenie dotyczy danych osobowych przetwarzanych przez podmiot, którego dotyczy naruszenie. Naruszenie ochrony danych osobowych może być następstwem różnorodnych zdarzeń, w tym zachowań zawinionych czy też nie zawinioncych, wreszcie działaniem o charakterze przstępczym lub będące wynikiem zdarzeń losowych. Skutkiem owego naruszenia jest nieuprawnione ujawnienie danych osobowych. Przez nieuprawnione ujawnienie ponownie będziemy rozumień wszelkie zdarzenia, w wyniku których dane osobowe dostały się w niepowołane ręce i osoby nieuprawnione uzyskały dostęp do tych danych. Na marginesie pamiętajmy, że naruszeniem będzie także zniszczenie danych ale o tym innym razem. 

Grupa Robocza Art. 29 w Wytycznych dotyczących zgłaszania naruszeń ochronych danych osobowych wyróżnia trzy typy naruszęń ochrony danych osobowych:

  1. Naruszenie poufności polegające na ujawnieniu danych osobowych nieuprawnionej osobie 
  2. Naruszenie dostępności, którego skutkiem jest czasowa lub trwała utrata lub znieszczenia danych osobowych 
  3. Naruszenie integralności, czyli zmiana treści danych osobowych  

Administrator powinien:

Jeżeli okaże się, że nie ma prawdopodobieństwa wystąpienia ryzyka naruszenia praw i wolności osób fizcyznych, administrator nie ma obowiązku powiadamiania organu o naruszeniu. Konieczne będzie jednak wykazanie tego faktu i na żądanie organu wyjaśnienie powodow braku zawiadomienia. 

Jak te rozważania mają się do kary nałożonej na Śląski Uniwersytet Medyczny?

Naruszenie nastąpiło w związku z prowadzeniem egzaminów na platformie video, a skutkiem naruszenia była dostępność materiałów video dla osób nieupoważnionych do przetwarzania tych danych. Ponadto, uczelnia nie poinformowała osób, których dane dotyczą o wystąpieniu naruszenia, uznając wcześniej, że nie było także potrzeby zawiadamiania organu. 

Organ zaznaczył, że pomimo tego, że dostęp do pliku miąło 26 nieuprawnionych osób to nie można określić co mogło stać się dalej z tymi nagraniami, z uwagi na to, że każdy kto miał dostęp do linka mógł ten plik dalej przesłać. 

 

Ochrona danych osobowych Warszawa | Wdrożenie RODO w małej firmie | RODO dla małej firmy | Wdrożenie RODO w średniej firmie | RODO w średniej firmie | Polityka ochrony danych osobowych Warszawa | Inspektor Ochrony Danych

KOMENTARZE
* pola wymagane
CZYTAJ RÓWNIEŻ

27 czerwca br. weszła w życie decyzja Komisji Europejskiej w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich – a więc poza terytorium Europejskiego Obszaru Gospodarczego. Warto pamiętać, że tworzą go wszystkie państwa członkowskie Unii Europejskiej, a ponadto Liechtenstein, Norwegia i Islandia. W każdym razie w momencie, gdy ma dojść do przekazania danych do tych państw, stosowanie klauzul umownych – oczywiście łącznie z innymi, niezbędnymi środkami – jest najlepszym sposobem na zapewnienie zgodności tej operacji z prawem. 

CZYTAJ DALEJ

W tym wpisie zajmiemy się odpowiedzią na pytanie, czy numery tablic rejestracyjnych są danymi osobowymi w myśl Rozporządzenia RODO. Orzecznictwo coraz śmielej stosuje, i interpretuje, przepisy dotyczące ochrony danych osobowych zajmując się już kolejny raz kwestię tego, czy numery tablic rejestracyjnych pojazdów są objęte ochroną.

CZYTAJ DALEJ

Wyrok Schrems II wydany przez Trubunał Sprawiedliwości UE w dniu 16 lipca 2020r. jest rozstrzygnięciem, którego skutkiem jest zmiana zasad transferu danych osobowych do USA. I aby być bardziej dosadnym, zmiana ta polega na bardzo dużym utrudnieniu tego transferu z uwagi na rozstrzygnięcie TSUE. 

Wyrok w sprawie C-311/18 Data Protection Commissioner przeciwko Facebook Irealnd Ltd nie pozostawia wątpliwości, że Unii zależy na wysokich standardach ochrony danych osobowych w odniesieniu do przekazywania danych osobowych do państw trzecich. 

 

CZYTAJ DALEJ