• Polski
  • English
  • Deutsch
  • Kara dla Morele.net

    Prezes Urzędu Ochrony Danych Osobowych nałożył na Morele.net karę w wysokości ponad 2,8 mln zł za nieadekwatne zabezpieczenia organizacyjne i techniczne, w szczególności zastosowanie nieskutecznego środka uwierzytelniania dostępu do danych, co przyczyniło się do zdarzenia polegającego na uzyskaniu nieuprawnionego dostępu do danych. Ponadto zdaniem Prezesa do naruszenia doszło także z uwagi na nieskutecznie monitorowanie potencjalnych zagrożeń związanych z nietypowymi zachowaniami w sieci oraz brak stosownych związanych z tym procedur. W konsekwencji zmaterializowało się ryzyko związane z niezgodnym z prawem wykorzystaniem danych osobowych około 2 mln 200 tys. klientów spółki.

    Jest to największa kara jak dotąd. Odmiennie niż dotychczas kara w mniejszym stopniu odnosi się do aspektów formalnych, a bardziej do kwestii bezpieczeństwa przetwarzania danych. Pokazuje to, że organ nadzoru koncentruje się nie tylko na weryfikacji dokumentacji dotyczącej ochrony danych, ale również na zabezpieczeniach. Przedmiotem analizy była zatem przede wszystkim adekwatność wdrożonych środków, którą ocenia się przez pryzmat ryzyka związanego z przetwarzaniem danych w konkretnym procesie przetwarzania. Podejście oparte na ryzyku jest bowiem generalną podstawą zapewniania zgodności z RODO. Wdrożenie właściwych metod analitycznych, dających prawidłowe rezultaty oparte na obiektywnych kryteriach jest kluczem do wykazywania zgodności. Administratorzy powinni zatem dokonać wyboru metod i narzędzi, w tym na przykład aplikacji do analizy ryzyka, za pomocą których wykażą, dlaczego wdrożyli te a nie inne rozwiązania techniczne i organizacyjne, jako wynik oceny ryzyka związanego z przetwarzaniem danych. Przykładem takiej aplikacji może być opracowana przez zespół prawników i informatyków z Lubasz i Wspólnicy – Kancelaria Radców Prawnych aplikacja GDPR RISK TRACKER – do analizy ryzyka na podstawie RODO (https://app.gdprrisktracker.pl https://www.facebook.com/GDPRRiskTracker/)

    Wysokość kary administracyjnej nałożonej na spółkę przez Prezesa Urzędu Ochrony Danych Osobowych związana jest przede wszystkim z naruszeniem zasady poufności danych wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679 w związku z obowiązkami określonymi w art. 24 ust. 1, art. 25 ust. 1 i art. 5 ust. 1 rozporządzenia 2016/679. Artykuł 32 ust. 1 lit. b) i d), art. 32 ust. 2 rozporządzenia 2016/679, a ponadto naruszenia zasad legalności, rzetelności i przejrzystości wyrażonych w art. 5 ust. 1 lit. a) rozporządzenia 2016/679 oraz zasady rozliczalności wyrażonej w art. 5 ust. 2 (szczegółowo w art. 6 i 7 rozporządzenia 2016/679).

    Wróć do listy
    dr Dominik Lubasz

    dr Dominik Lubasz

    • Wspólnik
    • Radca prawny
    Skontaktuj się z autorem

    Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej

    Subscribe to our newsletter

    FreshMail.pl