Powierzasz swoje dane osobowe – sprawdzaj firmy współpracujące

Powierzasz swoje dane osobowe – sprawdzaj firmy współpracujące

Powierzasz swoje dane osobowe – sprawdzaj firmy współpracujące

Stanowisko UODO jest jedno, to Administrator odpowiada za otrzymane dane osobowe pracowników, klientów, współpracowników.


 

Jeżeli nasze zasoby ludzkie i finansowe nie są w stanie zapewnić należytej ochrony danych osobowych uzyskanych od osób fizycznych, możemy te czynności delegować poza nasze przedsiębiorstwo, tj. czynności kadrowo-płacowe, usługi IT, serwis aplikacji, administrowanie stron www.

Korzystanie z usług podwykonawców najczęściej wiąże się z zawarciem umowy o współpracy, która musi zawierać elementy zawarte w art. 28 RODO.
Firma, której zlecamy wykonanie czynności w naszym imieniu na danych osobowych musi wylegitymować się spełnieniem wymogów zawartych w RODO w zakresie wdrożenia zabezpieczeń technicznych i organizacyjnych przy przetwarzaniu danych.

Administrator w myśl przepisów art. 28 ust 3 pkt h RODO ma prawo do przeprowadzenia audytu bezpieczeństwa danych osobowych przetwarzanych przez firmy współpracujące.

Firma - dane rejestrowe


Inspektorzyrodo.pl Sp. z o.o.
Siedziba: 00-682 Warszawa ul. Hoża 86/410
KRS 0000739784 REGON 380718355 NIP 7010831232

Pierwsza kara za nieprzestrzeganie nakazu decyzji administracyjnej

Pierwsza kara za nieprzestrzeganie nakazu decyzji administracyjnej

Pierwsza kara za nieprzestrzeganie nakazu decyzji administracyjnej

Konsekwencje nieprzestrzegania nakazu decyzji administracyjnej – Pierwsza taka kara


 

Przedsiębiorca, prowadzący działalność gospodarczą w zakresie ochrony zdrowia, z administracyjną karą pieniężną w wysokości ponad 85 tys. zł za niewykonanie nakazu nałożonego wobec niego w decyzji administracyjnej.

 

Urząd Ochrony Danych Osobowych (UODO), nakazał przedsiębiorcy zawiadomienie jego pacjentów o naruszeniu ich danych osobowych oraz przekazanie tym osobom zaleceń dotyczących zminimalizowania potencjalnych negatywnych skutków zaistniałego incydentu.

 

Administrator tego nie zrobił i w konsekwencji osoby, których dotyczyło naruszenie nic o nim nie wiedziały.

 

Ponieważ przedsiębiorca zignorował decyzję organu nadzorczego, UODO zdecydował o wszczęciu z urzędu postępowania w sprawie nałożenia administracyjnej kary pieniężnej.

 

Urząd nakładając karę wziął pod uwagę czynniki obciążające tj. :

  • długotrwały okres trwania naruszenia, co spowodowało zwiększone ryzyko zaistnienia negatywnych konsekwencji po stronie osób dotkniętych naruszeniem oraz
  • umyślny charakter naruszenia i niezadowalający stopień współpracy z organem nadzorczym w celu usunięcia naruszenia – przedsiębiorca nie stosował się do zaleceń Urzędu w trakcie postępowania.

 

Pełna treść decyzji dostępna pod linkiem: https://www.uodo.gov.pl/decyzje/DKE.561.11.2020

Administrator nic sobie nie robił z nakazów UODO. Osoby, których naruszenie dotyczyło nawet o tym nie wiedziały.

Firma - dane rejestrowe


Inspektorzyrodo.pl Sp. z o.o.
Siedziba: 00-682 Warszawa ul. Hoża 86/410
KRS 0000739784 REGON 380718355 NIP 7010831232

Wielka Orkiestra Świątecznej Pomocy po raz 29!

Wielka Orkiestra Świątecznej Pomocy po raz 29!

Wielka Orkiestra Świątecznej Pomocy po raz 29!

Wielka Orkiestra Świątecznej Pomocy po raz 29!


W tym roku nie mogło nas zabraknąć , wspieramy inicjatywę WOŚP korzystają z możliwości wsparcia fundacji za pośrednictwem wirtualnych puszek
Dziękujemy za 29 finał i trzymamy kciuki za zbliżający się rekord zbiórki!

Podziękowanie za wsparcie WOŚP 2021

Firma - dane rejestrowe


Inspektorzyrodo.pl Sp. z o.o.
Siedziba: 00-682 Warszawa ul. Hoża 86/410
KRS 0000739784 REGON 380718355 NIP 7010831232

Konferencja Cyfrowy Bliźniak i nowe kary UODO

Konferencja Cyfrowy Bliźniak i nowe kary UODO

Konferencja Cyfrowy Bliźniak i nowe kary UODO

W związku ze zbliżającym się Dniem Ochrony Danych przypadającym na 28 stycznia, dnia 10 stycznia we Wrocławiu, odbyła się pierwsza w tym roku konferencja naukowa.

Oczywiście nie mogło na niej zabraknąć naszego zespołu, który skorzystał z zaproszenia podnoszenia kompetencji na Uniwersytecie Wrocławskim.

Wśród prelegentów byli  przedstawiciele Departamentów UODO m. in  Urszula Góral (Dyrektor Departamentu Współpracy Międzynarodowej i Egzekucji UODO),  Wojciech Trebnio (Dyrektor Departamentu Kar i Egzekucji UODO), Tomasz Soczyński (Dyrektor Departamentu Informatyki  UODO) oraz liczni eksperci m. in. mecenas Maciej  Gawroński (autor wielu publikacji i komentarzy do RODO), dr Dariusz Wasiak.

Rozmowy dotyczyły postrzegania osób poprzez pryzmat portali społecznościowych oraz wszystkich aplikacji i programów, których używamy i ich wpływu na prywatność.

Poruszanym tematem były kradzieże tożsamości, wynikające z dostępu do zasobów Administratorów osób nieupoważnionych.

Ponadto, Dyrektor Departamentu Kar i Egzekucji w Urzędzie Ochrony Danych Osobowych, Wojciech Trebnio, potwierdził zebranym, że w 2019 roku nałożono łącznie 8 kar pieniężnych, na łączną kwotę 958 760 EUR.

 

Poniżej zestawienie i branża działalności Administratora (źródło UODO):

1. 220 000 EUR – spółka przetwarzająca dane z rejestrów publicznych

2. 13 000 EUR – stowarzyszenie sportowe

3. 660 000 EUR – spółka prowadząca sprzedaż online

4. 9 400 EUR – Burmistrz Miasta

5. 47 000 EUR – spółka prowadząca marketing w sieci

6. 480 EUR – wspólnota mieszkaniowa

7. 1 900 EUR – spółka zarządzająca nieruchomościami

8. 7 000 EUR – spółka zajmująca się ochroną mienia i ludzi

 

Przedstawiciel Urzędu Ochrony Danych Osobowych zapewnił, że wkrótce na stronie opublikowane zostaną decyzje wraz z ich uzasadnieniem.

Podczas konferencji pojawiły się liczne wątpliwości, które jak zapewnił prof. dr hab. Mariusz Jabłoński będzie można rozstrzygnąć podczas kolejnych spotkań.

Firma - dane rejestrowe


Inspektorzyrodo.pl Sp. z o.o.
Siedziba: 00-682 Warszawa ul. Hoża 86/410
KRS 0000739784 REGON 380718355 NIP 7010831232

Bezpieczeństwo danych ma znaczenie

Bezpieczeństwo danych ma znaczenie

Bezpieczeństwo danych ma znaczenie

 

Urząd Ochrony Danych Osobowych wydał decyzje nakładającą karę na urząd publiczny z sektora Jednostek Samorządu Terytorialnego.


 

Wysokość kary to 40 tysięcy złotych. Kara zaliczona została do górnego pułapu (limit do 100 tysięcy) i zostanie pokryta przez Burmistrza Urzędu w Aleksandrowie Kujawskim.

Kontrolerzy potwierdzili, że ochrona danych i bezpieczeństwo zależy w dużej mierze od przeprowadzonych w zgodzie z ISO 31000 lub ISO 27005 analiz ryzyka, która musi wykazać wpływ zagrożeń na atrybuty bezpieczeństwa (poufność, dostępność i integralność) w administrowanych procesach przetwarzania danych. Brak sumiennego i zgodnego z zaleceniami postępowania powoduje naruszenie art. 5 ust 1 lit f oraz art. 5 ust 2 RODO.

Administrator musi pamiętać o obowiązku dostępności do przetwarzanych danych, który jest spełniony jeśli zostanie opracowany plan postępowania na wypadek awarii. Jednym z elementów są procedury tworzenia kopii zapasowych i ich testowanie. Rozwiązanie w przedmiotowym zakresie odnajdujemy w normach ISO 22301.
Zalecenia kontrolerów urzędu dotyczyły procesu retencji danych, od momentu pozyskania do czasu usunięcia w wyniku osiągnięcia zamierzonego celu.

Urzędnicy Urzędu Ochrony Danych Osobowych potwierdzili, że Administrator udostępniał dane osobowe bez podstawy prawnej, naruszając tym samym art. 28 ust. 3 RODO w związku z brakiem zawartych umów powierzenia z podmiotami współpracującymi.

 

Podsumowując nieprawidłowości Urzędu w Aleksandrowie Kujawskim dotyczyły:

  • nieprawidłowości związanych z transmisją posiedzeń rady miejskiej na YouTube
  • braku procedur dotyczących przeglądów danych prezentowanych na BIP-ie
  • braku umów powierzenia danych zawartych ze spółkami obsługującymi BIP urzędu

 

To jest bardzo mocny sygnał płynący zarówno do sektora prywatnego jak i publicznego, że każdy może zostać ukarany w przypadku nieprawidłowości i zaniedbań.

Należy również pamiętać, że potwierdzeniem bezpieczeństwa świadczonych usług w ramach umowy o współpracy z Inspektorem Ochrony Danych jest polisa ubezpieczeniowa OC. Tak jak to ma miejsce w przypadku naszej firmy.

Firma - dane rejestrowe


Inspektorzyrodo.pl Sp. z o.o.
Siedziba: 00-682 Warszawa ul. Hoża 86/410
KRS 0000739784 REGON 380718355 NIP 7010831232

phishingMan

phishingMan

phishingMan

Każdego dnia otrzymujemy dziesiątki a nawet setki  e-maili, zawierających informacje o różnych priorytetach ważności, zachęcające nas do klikania w aktywne makra lub pliki


 

To może być atak phishingowy.

Scenariusz z reguły jest zawsze taki sam, dostajemy e-maila, w którego treści zawarta jest informacja o tym, że skorzystaliśmy z usług  danej firmy i w zgodzie z umową otrzymujemy fakturę, która została zapisana w pliku i dołączona jako załącznik.

Nadawca przesyłając wiadomość liczy, że posiadamy uprawnienia admina i nie będziemy mieli czasu analizować rozwinięcia pliku i adresu e-mail.

Załączony plik i treść e-maila na pierwszy rzut oka może nie wzbudzać podejrzeń a tak naprawdę zawiera złośliwe oprogramowanie, które jeżeli firma nie wdrożyła planów reagowania na incydent, może sparaliżować pracę całego przedsiębiorstwa.

Nadawca e-maila może podszyć się pod klienta firmy, dlatego zalecamy analizę adresu nadawcy w przypadku niezamówionych korespondencji lub kont e-mail, które zostały dedykowane do przesyłania faktur.

Poniżej zamieszczamy treść takiego maila, na którym zaznaczone są elementy, jakie powinny od razu wzbudzić czujność u odbiorców:

Po otrzymaniu takiej korespondencji zalecamy zgłaszać takie przypadki poprzez stronę: https://incydent.cert.pl

Dzięki temu można ostrzec podmioty publiczne,  inne osoby a ponadto mieć swój udział w  prewencji  zachowań o charakterze cyberprzestępczym.

Firma - dane rejestrowe


Inspektorzyrodo.pl Sp. z o.o.
Siedziba: 00-682 Warszawa ul. Hoża 86/410
KRS 0000739784 REGON 380718355 NIP 7010831232