RODO/GDPR

Sytuacja w której pracownik odchodzący z firmy zabiera ze sobą dane o kluczowym znaczeniu dla przedsiębiorstwa może pozostawić swoje piętno zarówno na reputacji, jak i sytuacji finansowej firmy. Czy z takim działaniem można walczyć? Jakie przepisy regulują „wynoszenie” danych firmowych?

W dzisiejszych czasach dobrem o największej wartości jest informacja. Z tego względu liczba prób wyłudzenia danych osobowych lawinowo wzrasta. Kradzież danych osobowych może mieć bardzo daleko idące konsekwencje, dlatego na próby wyłudzenia informacji trzeba reagować szybko i zdecydowanie. Jak bronić się przed wyłudzeniem danych osobowych?

Każdy ADO jest zobowiązany do zapewnienia należytego stopnia ochrony przetwarzanych danych osobowych. Aby było to możliwe, należy przede wszystkim ustalić, jakie dane podlegają ochronie i przed jakimi zagrożeniami muszą być one zabezpieczone. Służą temu mechanizmy analizy ryzyka oraz DPIA. Kiedy trzeba je przeprowadzić i na czym polegają? Czy zawsze są niezbędne?

Prezes Urzędu Ochrony Danych Osobowych 26 listopada 2024 r. decyzję dotyczącą naruszenia przepisów RODO przez placówkę medyczną (sygn. DKN.5131.6.2024). Sprawa dotyczy nieprawidłowego postępowania szpitala powiatowego we Wrześni w zakresie zgłaszania i obsługi naruszenia ochrony danych osobowych pacjenta. Jest to jedno z pierwszych tak kompleksowych rozstrzygnięć pokazujących, jak organ nadzorczy ocenia proces zgłaszania naruszeń w sektorze medycznym.

Prezes Urzędu Ochrony Danych Osobowych w decyzji z 18 października 2024 r. (DKN.5131.7.2024) nałożył na jednostkę administracji publicznej karę pieniężną w wysokości 25 000 złotych za wieloletnie naruszenie przepisów RODO dotyczących obowiązku wyznaczenia Inspektora Ochrony Danych. Rozstrzygnięcie to ma ważne znaczenie dla interpretacji przepisów o obowiązku powołania IOD i konsekwencji zaniedbań w tym zakresie.

Naczelny Sąd Administracyjny wydał ważne dla ochrony prywatności w mediach społecznościowych orzeczenie, rozstrzygając sprawę publicznego udostępnienia wyroku sądowego zawierającego dane osobowe na portalu Facebook. Wyrok z 16 października 2024 r. (sygn. akt III OSK 4984/21) ma fundamentalne znaczenie dla interpretacji przepisów RODO w kontekście prywatnych publikacji w internecie.

Wojewódzki Sąd Administracyjny w Warszawie w wyroku o sygnaturze II SA/Wa 2378/20 zmierzył się z problemem, który dotyka tysięcy konsumentów – nadmiernie skomplikowanym i wprowadzającym w błąd procesem wycofania zgody na przetwarzanie danych osobowych. Ważne w tym sporze jest to, że w wyroku z dnia 12 listopada 2024 r. Naczelny Sąd Administracyjny oddalił skargę kasacyjną spółki ClickQuickNow, przychylając się do stanowiska Wojewódzkiego Sądu Administracyjnego.

W czerwcu 2024 r. Wojewódzki Sąd Administracyjny w Warszawie wydał istotny wyrok dotyczący obowiązków administratora danych w przypadku naruszenia ochrony danych osobowych (wyrok z dnia 18 czerwca 2024 r., II SA/Wa 219/24). Sprawa dotyczyła kary w wysokości blisko 283 000 zł nałożonej przez Prezesa UODO na spółkę E. S.A. za niezgłoszenie naruszenia ochrony danych osobowych oraz niepoinformowanie o tym osoby, której dane dotyczą.

Decydując się na przetwarzanie danych osobowych, administrator powinien móc wykazać, że dysponuje ku temu odpowiednią podstawą. W przeciwnym razie ryzykuje wysokie kary w związku z przetwarzaniem danych osobowych bez podstawy prawnej. W tym kontekście warto przyjrzeć się bliżej testowi równowagi. Kiedy trzeba go przeprowadzić i jak zrobić to prawidłowo?