05-2024! UODO nakłada 240 tys. zł kary za zgubionego pendrive’a


Prezes Urzędu Ochrony Danych Osobowych nałożył blisko 240 tys. zł kary na firmę gastronomiczną z Kolbuszowej (województwo podkarpackie), której pracownik zgubił pendrive z danymi osobowymi.

Jak podaje w komunikacie Urząd Ochrony Danych Osobowych (UODO), pracownik firmy zgubił pendrive’a, na którym znajdowały się niezaszyfrowane pliki zawierające dane osobowe innego pracownika, a mianowicie imię i nazwisko, adres, obywatelstwo, płeć, data urodzenia, numer PESEL, seria i numer paszportu, numer telefonu, adres e-mail, zdjęcia oraz dane dotyczące wysokości zarobków. Na pendrive’ie były też zaszyfrowane pliki z danymi finansowymi.

Firma posiadała rejestr ryzyka czy potwierdzenia przeprowadzania monitorowania procedur RODO. Problemem okazały się jednak zasady korzystania z zewnętrznych nośników danych, w tym ich szyfrowanie. O tym, jak szyfrować pliki, firma informowała pracowników na filmie instruktażowym. A to, jak zauważył UODO, przerzucało na nich odpowiedzialność za sposób przetwarzania danych.

UODO: film instruktażowy o szyfrowaniu plików to za mało

Co więcej zdaniem Prezesa UODO firma źle oceniła ryzyko dla danych. Założono, że nośniki danych mogą być skradzione albo zniszczone – nie wzięto jednak pod uwagę tego, że nośnik można po prostu zgubić bez złych intencji. Do tego, pomimo zakładania wystąpienia różnych zdarzeń, nie wdrożono rozwiązań kryptograficznych dla ochrony danych osobowych na zewnętrznych nośnikach. – Film instruktażowy „w jaki sposób szyfrować pliki na pendrive oraz jakiego programu do tego celu użyć” to za mało wobec zakresu danych przetwarzanych na takich nośnikach — podkreślono w komunikacie.
Kolejny problem polegał na tym, że firma nie dopełniła obowiązku regularnego mierzenia, testowania i oceniania skuteczności zastosowanych środków bezpieczeństwa.

O zgubieniu pendrive’a poinformowała sama firma, a w czasie postępowania współpracowała z Prezesem UODO, co miało istotny wpływ na ostateczny wymiar kary. – Gdyby nie to, kara byłaby znacznie wyższa — zaznacza Urząd. Jak dodano, wysokość kary jest też m.in. wypadkową dużych obrotów firm.

Raport kontroli NIK 22-04-2024: Szkoły, jednostki samorządowe mają poważne problemy z ochroną danych

Najnowszy raport NIK – Najwyższej Izby Kontroli, z województwa podlaskiego, wskazuje na poważne zaniedbania dotyczące ochrony danych osobowych w jednostkach samorządowych – w tym w szkołach oraz przychodniach medycznych. Urząd nakazał pilną potrzebę dokonania zmian. Skala dotyczy kilkunastu tysięcy publicznych instytucji. Według Najwyższej Izby Kontroli, wyniki postępowania kontrolnego mogą być wierzchołkiem góry lodowej. Liczba instytucji publicznych z naruszeniami przepisów RODO może bowiem sięgać kilkunastu tysięcy. NIK nie zamierza jednak ograniczać się do słów – kontrola, ograniczona początkowo do 12 podlaskich samorządów, ma teraz objąć wszystkie polskie samorządy.

NIK o zwiększeniu bezpieczeństwa ochrony danych osobowych przechowywanych w jednostkach samorządowych w formie elektronicznej

Wieloletnie zaniedbania dotyczące ochrony danych osobowych, nieświadomość zagrożeń, brak jednoznacznych wytycznych, używanie domen publicznych bez stosownych umów gwarantujący bezpieczeństwo – to w ocenie NIK sprawia, że podstawowe elementy systemu ochrony danych osobowych w jednostkach samorządowych były nieskuteczne. NIK rekomenduje szybką potrzebę zmian. Najwyższa Izba Kontroli szacuje, że skala nieprawidłowości może dotyczyć kilkunastu tysięcy publicznych instytucji. Biorąc pod uwagę skalę problemu, NIK rozszerza postępowanie kontrolne na wszystkie samorządy w kraju i dokonuje rozpoznania w innych sferach działalności publicznej.

Jak podkreśla sama NIK:

„Najwyższa Izba Kontroli zdiagnozowała systemowy charakter nieprawidłowości w dziedzinie ochrony i przetwarzania danych, w tym danych osobowych w jednostkach samorządowych. Dlatego kontrola będzie rozszerzona o wszystkie jednostki samorządu terytorialnego w Polsce”.

43 proc. szkół z naruszeniami

Ustalenia kontroli Najwyższej Izby Kontroli w samorządach województwa podlaskiego wskazują między innymi, że aż 43 proc. szkół lokuje swoje adresy e-mail w domenach komercyjnych. Niewiele lepszymi statystykami może pochwalić się sektor publicznej opieki zdrowotnej oraz ośrodki pomocy społecznej – odpowiednio 32 proc. i 28 proc.

45 jednostek podlegających pod samorządy korzystało z komercyjnych skrzynek pocztowych, bez odpowiedniej umowy powierzenia przetwarzania danych osobowych. Komunikacja służbowa powinna odbywać się za pomocą dedykowanej do tego skrzynki mailowej. Korzystanie z prywatnej skrzynki pocztowej w celach służbowych nie należy do dobrych praktyk bezpieczeństwa.

Nie tylko szkoły, ale tez inne jednostki organizacyjne z uchybieniami

Ryzyka stwierdzono również w przypadku ośrodków kultury, bibliotek, powiatowych inspektorów nadzoru budowlanego, powiatowych stacji sanitarno-epidemiologicznych, domów pomocy społecznej, powiatowych centrów pomocy rodzinie, przychodni psychologiczno-pedagogicznych, centrów usług wspólnych i innych.

Biorąc pod uwagę ustalenia kontroli oraz fakt, że oprócz głównych adresów mailowych przypisanych do jednostki, niejednokrotnie pracownicy tych instytucji publicznych również użytkowali adresy mailowe w domenach komercyjnych jako adresy służbowe, Najwyższa Izba Kontroli szacuje, że skala nieprawidłowości może dotyczyć kilkunastu tysięcy publicznych instytucji oraz kilkudziesięciu tysięcy adresów mailowych, które nie powinny być wykorzystywane do celów służbowych. Wskazuje to na ryzyko, że dziennie na takie adresy mailowe może wpływać tysiące wiadomości, w tym część z nich zawierających dane osobowe szczególnie chronione. Stąd też postępowanie kontrolne rozszerzone zostanie na wszystkie jednostki samorządowe w kraju. Ma ono wyeliminować nieprawidłowości i zagwarantować pozytywne zmiany w usługach publicznych, w całym sektorze samorządowym. Znamienne jest, że niejednokrotnie jednostki samorządowe na nieodpowiednio zabezpieczone adresy mailowe otrzymywały wiadomości z ministerstw, organów nadzoru oraz instytucji nadrzędnych, co wskazuje na powszechną niską świadomość o stosowaniu bezpiecznych narzędzi i instrumentów w sposób odpowiedni zabezpieczających dane osobowe obywateli.

Oprócz jednostek samorządowych Najwyższa Izba Kontroli prowadzi rozpoznanie dotyczące innych branż i resortów. Dane uzyskane z dziewięciu sądów apelacyjnych wskazują, że problem może dotyczyć korespondowania za pośrednictwem poczty elektronicznej z biegłymi sądowymi, którzy podają adresy mailowe znajdujące się na bezpłatnych domenach komercyjnych, co może świadczyć o dużym ryzyku, że nie zawarli oni umowy przetwarzania danych osobowych z właścicielem domeny, podobny problem dotyczyć może też tłumaczy przysięgłych, ławników, mediatorów i kuratorów sądowych.

Źródło:
https://www.nik.gov.pl/najnowsze-informacje-o-wynikach-kontroli/bezpieczenstwo-ochrony-danych-osobowych-w-jst.html

Urząd Ochrony Danych nie odpuszcza Morele.net i podnosi karę do 3,8 mln złotych! Nowe: 08.02.2024

Urząd Ochrony Danych Osobowych nałożył 3,8 mln zł kary na sklep internetowy Morele.net. Ma to związek z atakiem hakerskim i wyciekiem danych klientów z 2018 roku. „Rzeczpospolita” informuje, że Urząd Ochrony Danych Osobowych w tej kwestii nie odpuszcza.

Po tym, jak NSA w 2023 r. uchylił decyzję prezesa UODO, urząd ponownie przeprowadził postępowanie i jeszcze podniósł karę. Wykazało ono, że do naruszenia ochrony danych osobowych doszło przez brak zastosowania przez Morele.net odpowiednich zabezpieczeń” – cztamy w „Rzeczpospolitej”.Dziennik przedstawiając ustalenia pokontrolne, pisze, że „administrator m.in. nie szyfrował części danych, nie dysponował wystarczającym uwierzytelnianiem, nie przeprowadził analizy ryzyka, która uwzględniałaby np. zagrożenia związane z możliwością logowania się do systemu z sieci publicznej.
Dziennik przedstawiając ustalenia pokontrolne, pisze, że „administrator m.in. nie szyfrował części danych, nie dysponował wystarczającym uwierzytelnianiem, nie przeprowadziłWyciekło 2,2 mln kont użytkowników

Wyciek danych ze sklepu miał miejsce w październiku 2018 r. Haker uzyskał wtedy dostęp do bazy danych klientów Morele.net, ale również do dziesięciu powiązanych sklepów internetowych. analizy ryzyka, która uwzględniałaby np. zagrożenia związane z możliwością logowania się do systemu z sieci publicznej”

Łącznie wyciekło 2,2 mln kont użytkowników. Już w listopadzie do klientów zaczęły trafiać informacje o konieczności dokonania dodatkowej opłaty z linkami do fałszywych bramek płatności.

UODO: PESEL lepiej chroniony, ale nie można na tym poprzestać

Od 17 listopada 2023 roku można zastrzec numer PESEL, aby przeciwdziałać zaciąganiu zobowiązań na nasze dane. Zdaniem UODO to dopiero pierwszy krok na drodze do skuteczniejszej ochrony naszych danych w tym zakresie. Numer PESEL jest kluczową daną osobową dla Polaków – podkreślił w komunikacie Urząd Ochrony Danych Osobowych. PESEL jednoznacznie nas identyfikuje, pozwala ustalić szereg informacji na nasz temat, dlatego powinien podlegać szczególnej ochronie – podkreśla prezes UODO Jan NowakRozpoczynając od piątku, 17 listopada, obywatele będą uprawnieni do zablokowania swojego numeru PESEL. Zgodnie z przepisami ustawy, której głównym celem jest minimalizowanie skutków kradzieży tożsamości, od 2024 roku instytucje, w tym banki, kancelarie notarialne oraz inne branże usługowe będą zobowiązane do sprawdzenia, czy numer PESEL danej osoby został już zablokowany, zanim udzielą na przykład kredytu.

Lepsza ochrona obywateli przed nadużyciami związanymi z kradzieżą obywateli – to główny cel ustawy z dnia 7 lipca 2023 r. o zmianie niektórych ustaw w celu ograniczania skutków kradzieży tożsamości, której cześć przepisów weszła 17 listopada br. w życie. Nowe regulacje umożliwią obywatelom zastrzeżenie nr PESEL w aplikacji mObywatel, za pośrednictwem strony internetowej obywatel.gov.pl, w dowolnym urzędzie gminy, na poczcie czy w placówce bankowej. Osoby, które zdecydują się na taki krok zabezpieczą się przed wykorzystaniem ich numeru PESEL np. do zaciągnięcia pożyczki na ich dane. Wiele instytucji będzie natomiast miało obowiązek sprawdzenia przed dokonaniem niektórych czynności (np. przed udzieleniem pożyczki czy kredytu) czy dana osoba zastrzegła swój PESEL. Czytaj dalej UODO: PESEL lepiej chroniony, ale nie można na tym poprzestać

UODO: Nowa Ustawa o weryfikacji zastrzeżenia numeru PESEL od 2024 roku

Nowa Ustawa o weryfikacji zastrzeżenienia numeru PESEL wchodzi w życie od 1 czerwca 2024 roku. podmioty takie jak banki, instytucje kredytowe lub notariusze przed zawarciem umowy lub podjęciem czynności będą musiały sprawdzać w rejestrze, czy PESEL danej osoby został zastrzeżony

Ustawa m.in. umożliwia obywatelom zastrzeżenie nr PESEL. Wiele instytucji przed dokonaniem pewnych czynności (takich jak np. udzielenie pożyczki, lub kredytu), będzie miało obowiązek sprawdzenia czy dana osoba zastrzegła swój PESEL. „Większość Polaków pytana, co wchodzi w skład danych osobowych, wskazuje przede wszystkim PESEL (92 proc.), a dopiero potem imię i nazwisko (90 proc.), czy adres zamieszkania (84 proc.). Dobitnie pokazuje to badanie Krajowego Rejestru Długów i serwisu ChronPESEL.pl przeprowadzone w maju tego roku pod patronatem Urzędu Ochrony Danych Osobowych” – zwrócił uwagę, cytowany w komunikacie UODO, rzecznik prasowy urzędu Adam Sanocki.

Nowelizacja niektórych przepisów, mająca na celu ograniczenie skutków kradzieży tożsamości, umożliwia teraz jednostkom zablokowanie swojego numeru PESEL. Zmiany te wynikają z ustawy modyfikującej kilka innych ustaw. Głównym celem jest zwalczanie praktyk, takich jak nielegalne uzyskiwanie środków finansowych poprzez zaciąganie kredytów na czyjeś dane bez zgody i wiedzy tej osoby. Ponadto, nowe regulacje mają na celu eliminowanie tzw. SIM swappingu, czyli procedury tworzenia kopii karty SIM, którą następnie można wykorzystać do nielegalnego autoryzowania transakcji.

Nowe obowiązki od czerwca Od 1 czerwca 2024 roku podmioty takie jak banki, instytucje kredytowe lub notariusze przed zawarciem umowy lub podjęciem czynności będą musiały sprawdzać w rejestrze, czy PESEL danej osoby został zastrzeżony.

Ustawa stanowi, że obywatele nie będą obciążani za zobowiązanie, które zostało zaciągnięte bez ich wiedzy mimo istniejącego zastrzeżenia. Rozwiązania dotyczące samego zastrzegania numeru PESEL i cofnięcia takiego zastrzeżenia wejdą w życie już w piątek. Zgodnie z ustawą będzie mógł tego dokonać każdy pełnoletni posiadacz numeru PESEL za pomocą e-usługi, aplikacji mObywatel – będzie usługa „Zastrzeż PESEL” – lub osobiście w urzędzie gminy, w banku krajowym, spółdzielczej kasie oszczędnościowo-kredytowej lub na poczcie.

Numer PESEL jest kluczową daną osobową dla Polaków – podkreślił w komunikacie Urząd Ochrony Danych Osobowych. PESEL jednoznacznie nas identyfikuje, pozwala ustalić szereg informacji na nasz temat, dlatego powinien podlegać szczególnej ochronie – podkreśla prezes UODO Jan NowakRozpoczynając od piątku, 17 listopada, obywatele będą uprawnieni do zablokowania swojego numeru PESEL. Zgodnie z przepisami ustawy, której głównym celem jest minimalizowanie skutków kradzieży tożsamości, od czerwca 2024 roku instytucje, w tym banki, będą zobowiązane do sprawdzenia, czy numer PESEL danej osoby został już zablokowany, zanim udzielą na przykład kredytu

Nowe technologie a ochrona danych osobowych – konferencja UODO i ZUS listopad 2023

W dniu 22 listopada w siedzibie Centrali Zakładu Ubezpieczeń Społecznych w Warszawie odbędzie się konferencja pod nazwą „Nowe technologie a ochrona danych osobowych”, współorganizowana przez Zakład Ubezpieczeń Społecznych oraz Urząd Ochrony Danych Osobowych. Wydarzenie to jest częścią obchodów jubileuszu 90-lecia Zakładu Ubezpieczeń Społecznych.

Konferencja skupi się na dyskusji nad wpływem najnowszych technologii na ochronę danych osobowych w erze cyfrowej. Celem jest stworzenie przestrzeni do dialogu i współpracy między różnymi instytucjami zajmującymi się kwestiami ochrony danych osobowych. Patronat Honorowy nad obchodami jubileuszowymi objął Prezydent Rzeczypospolitej Polskiej Andrzej Duda.

W panelach dyskusyjnych wezmą udział eksperci i naukowcy zajmujący się tematyką ochrony danych osobowych. Konferencja zapewni okazję do wymiany poglądów i doświadczeń między uczestnikami. Planowane jest przeprowadzenie wydarzenia w godzinach 10:00–16:30 w centrali ZUS przy ul. Szamockiej 3, 5 w Warszawie. Program konferencji „Nowe technologie a ochrona danych osobowych” będzie dostępny w dniu konferencji na kanale Elektronicznego ZUS na platformie YouTube. Link do transmisji będzie udostępniony w odpowiednim miejscu w dniu wydarzenia.

Brak zgłoszenia incydentu RODO mimo odnalezienia danych – 16 tys. zł kary – uzasadnione przez Sąd

Wojewódzki Sąd Administracyjny w Warszawie przyznał rację Urzędowi Ochrony Danych Osobowych, który doszedł do wniosku, że skoro administrator nie dopełnił swoich obowiązków i nie zgłosił ryzyka naruszenia danych osobowych, to należy nałożyć na niego karę. I nie ma znaczenia to, że w późniejszym czasie zgubione dokumenty się odnalazły, bo przez pewien czas pozostawały poza kontrolą.

Chodzi o sprawę, którą WSA w Warszawie badał w kwietniu 2023 r. Prezes UODO w 2022 r. zadecydował o nałożeniu na administratora kary w wysokości niemal 16 tys. zł. W ocenie urzędu, dopuścił się on naruszenia przepisów ze względu na nieprawidłową reakcję po zgubieniu dokumentów. 

Dokument się znalazł, ale naruszenie i tak trzeba było zgłosić. Jak wskazano w komunikacie, w toku czynności wyjaśniających w trakcie postępowania ujawniono, że doszło do zagubienia dokumentu z akt osobowych pracownika spółki. Wówczas administrator uznał, że co prawda doszło do naruszenia ochrony danych osobowych polegającego na utracie z winy pracodawcy świadectwa pracy jednego z pracowników, jednak nie zgłosił tego naruszenia do UODO. Uznał bowiem, że nie wiąże się to z zagrożeniem naruszenia prawa. Z taką interpretacją nie zgodził się UODO, który zadecydował o nałożeniu kary. Ostatecznie sprawę musiał jednak zbadać warszawski WSA. 

Utrata kontroli nad dokumentem 

Sąd przyznał jednak rację urzędowi. W uzasadnieniu wyroku (sygn. akt II SA/Wa 127/22) przypomniano, że naruszenie ochrony danych osobowych jest przesłanką do zgłoszenia zdarzenia. W przypadku naruszenia bardzo ważny jest bowiem czas reakcji. Administrator ma obowiązek zgłosić naruszenie do organu nadzorczego bez zbędnej zwłoki, jednak nie później niż w terminie 72 godzin od stwierdzenia naruszenia. W sytuacji, w której istnieje wysokie ryzyko dla praw lub wolności osób, których dane są objęte naruszeniem, administrator powinien zawiadomić o zdarzeniu także te osoby. Ważne jest to, że nic konkretnego nie musi się zdarzyć, by mimo wszystko doszło do naruszenia RODO. 

– WSA podtrzymał stanowisko UODO zawarte w odpowiedzi na skargę, że ów dokument znajdował się poza kontrolą administratora, ponieważ nie miał on wiedzy, gdzie się znajduje, jaki jest zakres jego treści, kto ma do niego dostęp i czy nie został on zniszczony. Administrator akceptował zgubienie świadectwa pracy pracownika wraz z konsekwencjami dla ochrony danych. Dopiero wydanie administracyjnej kary pieniężnej spowodowało zintensyfikowanie poszukiwań dokumentu. Takie działanie, w ocenie UODO, może także świadczyć o lekceważącym stosunku do przepisów dotyczących ochrony danych osobowych – zaznacza w komunikacie UODO. 

Z tego względu skarga administratora została oddalona jako nieuzasadniona. 

52 tys. zł kary za naruszenie RODO dla Spółdzielni Mieszkaniowej

Urząd ds. Ochrony Danych Osobowych nałożył karę pieniężną w wysokości prawie 52 tys. złotych na spółdzielnię mieszkaniową. Powodem była brak zgłoszenia organowi nadzorczemu naruszenia związane z ochroną danych osobowych oraz niepoinformowanie osoby, której dane zostały naruszone. Dodatkowo, administratorowi nakazano powiadomienie o naruszeniu ochrony danych osobowych podmiotu, których te dane dotyczą.
Czytaj dalej 52 tys. zł kary za naruszenie RODO dla Spółdzielni Mieszkaniowej

Aktualności Centrali NFZ – środki na na podniesienie poziomu bezpieczeństwa systemów teleinformatycznych.

Wsparcie cyberbezpieczeństwa w placówkach medycznych zostało ogłoszone na stronach NFZ 30 maja 2022 roku (link: https://www.nfz.gov.pl/aktualnosci/aktualnosci-centrali/wsparcie-cyberbezpieczenstwa-w-placowkach-medycznych,8211.html ).

Zgodnie z informacją nawet 900 tys. zł mogą otrzymać z NFZ placówki medyczne na podniesienie poziomu bezpieczeństwa systemów teleinformatycznych.
O środki mogą wnioskować szpitale, które realizują świadczenia w ramach leczenia szpitalnego, rehabilitacji leczniczej, lecznictwa uzdrowiskowego o
raz opieki psychiatrycznej i leczenia uzależnień.
Finansowane są wydatki poniesione od 29 kwietnia do 31 grudnia 2022 r. Środki na ten cel pochodzą z Funduszu Przeciwdziałania COVID-19.

Niestety incydenty zagrażające cyberbezpieczeństwu placówek medycznych nasiliły się. Ma to związek m.in. z wojną w Ukrainie. Szczególnie niebezpieczne i groźne w skutkach mogą być cyberataki na szpitale. Atak hakerski na infrastrukturę informatyczną szpitala może kosztować zdrowie, a nawet życie pacjentów, dlatego tak ważne jest maksymalne zabezpieczenie tych systemów m.in. przed próbami włamań.

Atak, który może kosztować życie
– Wyciek danych, w tym danych osobowych pacjentów, blokowanie systemu informatycznego, czy szyfrowanie plików przez cyberprzestępców mogą prowadzić do paraliżu i ogromnych strat w podmiotach leczniczych. Mogą także uniemożliwić przeprowadzanie planowanych operacji, co zagraża bezpośrednio życiu i zdrowiu pacjentów – zaznacza Jarosław Olejnik, dyrektor w Centrali NFZ, który od lat zajmuje się sprawami bezpieczeństwa, w tym bezpieczeństwa informatycznego.

Dlatego, jak dodaje dyrektor Olejnik, NFZ oferuje szpitalom dodatkowe wsparcie finansowe na podniesienie poziomu bezpieczeństwa systemów informatycznych. Chodzi nawet o 900 tys. zł.

Kto może otrzymać środki?
Wsparcie jest przeznaczone dla szpitali, które wykonują świadczenia w zakresach:

leczenie szpitalne
rehabilitacja lecznicza
lecznictwo uzdrowiskowe
opieka psychiatryczna i leczenie uzależnień.
Wysokość środków zależy od wartości kontraktu placówki z NFZ. Wsparcie wynosi od ponad 240 tys. zł do nawet 900 tys. zł.

Co finansujemy?
Zakup i wdrożenie systemów teleinformatycznych oraz związanych z nimi usług musi dotyczyć podniesienia poziomu bezpieczeństwa w placówkach leczniczych, nie samej informatyzacji.

Za otrzymane środki szpital może kupić i uruchomić:

urządzenia, oprogramowanie i usługi teleinformatyczne, które zapobiegają, wykrywają lub zwalczają cyberataki, np.
systemy do tworzenia kopii danych,
systemy antywirusowe,
systemy kontroli dostępu administracyjnego i zarządzania uprawnieniami,
urządzenia i oprogramowanie zabezpieczające sieć (firewall),
systemy zapewniające bezpieczeństwo poczty elektronicznej.
urządzenia i oprogramowanie oraz wsparcie eksperckie dotyczące cyberbezpieczeństwa,
technologie, które ułatwiają precyzyjne monitorowanie bezpieczeństwa infrastruktury IT,
skany podatności, które pozwalają identyfikować zagrożenia we własnym środowisku IT,
opracowania wraz z przekazaniem praw autorskich dokumentacji systemu zarządzania bezpieczeństwem informacji,
a także przeprowadzić szkolenia z cyberbezpieczeństwa dla kadry zarządzającej i pracowników.

Środki na ten cel pochodzą z Funduszu Przeciwdziałania COVID-19. Obejmują wydatki ponoszone od 29 kwietnia do 31 grudnia 2022 roku.

Co zrobić, aby otrzymać dofinansowanie?

Aby skorzystać z finansowania, trzeba do 30 listopada 2022 r. złożyć do Dyrektora właściwego oddziału wojewódzkiego NFZ wniosek o zawarcie umowy. Do wniosku koniecznie należy dołączyć raport z Systemu Statystyki Ochrony Zdrowia, który potwierdza wypełnienie ankiety badającej poziom bezpieczeństwa systemów teleinformatycznych.

Warunkiem uzyskania wsparcia przez szpital jest zawarcie umowy i złożenie w siedzibie właściwego oddziału Funduszu, nie później niż do 16 grudnia 2022 r., kilku dokumentów:

wniosku o wypłatę finansowania, którego wzór określony jest w załączniku nr 3 do zarządzenia Prezesa NFZ,
specyfikacji finansowania, której wzór określony jest w załączniku nr 4 do zarządzenia Prezesa NFZ,
kopii dokumentów, które potwierdzają nabycie i sfinansowanie w okresie od 29 kwietnia 2022 roku do 31 grudnia 2022 roku przedmiotu finansowania (kopie dokumentów potwierdzone za zgodność z oryginałem), wyniku audytu bezpieczeństwa.

Pobierz Zarządzenie:
Zarzadzenie 68_2022_BBIiCD

8000 zł kary dla administratora Wspólnoty mieszkaniowej za brak procedur RODO

Administrator Danych Osobowych Wspólnoty Mieszkaniowejmusi zapłacić 8000   zł za brak prawisłowych procedur RODO wobec stosowania monitoringu wizyjnego. ADO odwołał się do sądu w sprawie kary i przegrał.

 

Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę na decyzję prezesa Urzędu Ochrony Danych Osobowych, który nałożył karę administracyjną 8 tys. zł na spółkę administrującą wspólnotą mieszkaniową.

Czytaj dalej 8000 zł kary dla administratora Wspólnoty mieszkaniowej za brak procedur RODO

20 tysięcy euro kary za naruszenie RODO dla firmy zatrudniającej 9 pracowników

Francuski organ nadzorczy nałożył 20 tysięcy euro kary pieniężnej na firmę zatrudniającą 9 pracowników, działającą jako biuro tłumaczeń (https://www.cnil.fr/fr/uniontrad-company-20-000-euros-damende-pour-videosurveillance-excessive-des-salaries).

Powodem nałożenia kary było umieszczenie w pomieszczeniu biurowym kamer, które w trybie ciągłym rejestrowały stanowiska pracy 6 tłumaczy wykonujących swoją pracę w tym samym pomieszczeniu biurowym.

Warto przypomnieć, że także w Polsce obowiązująca wykładnia (zaprezentowana choćby w wytycznych Prezesa UOD: https://uodo.gov.pl/pl/383/354), zgodnie z którą pracodawca nie może wykorzystywać monitoringu np. do ciągłego obserwowania pracownika wykonującego swoją pracę – np. nie jest właściwe rozlokowania kamer tak, by obejmowały biuro i monitor pracownika (chyba, że zachodzą wyjątkowe, uzasadniające to okoliczności np. związane z charakterem określonej funkcji).

Francuska firma, nie tylko umieściła kamery w nieodpowiednich miejscach, ale także nie zrealizowała wobec pracowników obowiązku informacyjnego, wymaganego przez art. 13 RODO.

Na uwagę zasługuje argumentacja co do wysokości kary – CNIL (francuski odpowiednik Prezesa UODO) ograniczył jej wysokość z uwagi na małą skalę działalności i sytuację finansową firmy, która za ostatni rok wykazała stratę – warto jednak zwrócić uwagę, że 20 tysięcy euro to wciąż dotkliwa kwota.

Choć sytuacja miała miejsce we Francji, kara została nałożona za błąd który także w Polsce musiałby być uznany za naruszenie RODO.

 

Księgi wejść i wyjść oraz przepustki, a RODO

Systemy przepustkowe/ewidencje wejść i wyjść powszechnie stosowane są nie tylko przez urzędy lub inne podmioty publiczne, ale także przez część prywatnych przedsiębiorstw – zwłaszcza tam, gdzie w codziennej działalności wykorzystywany jest istotny majątek, a liczba osób „przewijających” się przez przedsiębiorstwo jest bardzo wysoka. Zapisywanie danych w księdze wejść i wyjść jest także standardem obiektach przeznaczonych na komercyjny wynajem powierzchni biurowych. Czynnikiem, który powoduje konieczność weryfikacji takiej procedury jako zgodnej z RODO jest pozyskiwanie danych osoby, której dane są pozyskiwane w celu zaewidencjonowania wejścia na teren obiektu. Czytaj dalej Księgi wejść i wyjść oraz przepustki, a RODO