W
dniu 04.11.2019 r. Krajowy organ nadzoru zakończył dochodzenie w ING Bank NV Amsterdam – Oddział w Bukareszcie, po otrzymaniu powiadomienia, organ stwierdził, że operator naruszył przepisy art. 25 ust. (1) w związku z art. 5 f) z RODO, co doprowadziło do nałożenia grzywny za naruszenie w wysokości 80 000 euro, (czyli ok. 336 000 zł). ING Bank – Kara RODO.
W poruszanej kwestii operator nie zapewnił odpowiedniej zgodności z zasadą ochrony danych od momentu rozpoczęcia przetwarzania danych, ponieważ nie podjął odpowiednich środków technicznych i organizacyjnych dotyczących integralności danych. W systemie zautomatyzowanego przetwarzania danych, podczas transakcji kartą, zostały podwojone operacje. W okresie 8-10.10.2018 sytuacja wpłynęła na 225 525 klientów. Cała sprawa dotyczy naruszenia RODO na podstawie art. 32 RODO.
W tym kontekście RODO ustala, co następuje:
„Biorąc pod uwagę obecny stan technologii, koszty wdrożenia, charakter, zakres, kontekst, a także możliwe ryzyko o różnym stopniu prawdopodobieństwa wystąpienia wobec osób fizycznych, poprzez przetwarzanie; operator, zarówno przy ustanawianiu środków bezpieczeństwa, a także samego przetwarzania, wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, która ma na celu skuteczne wdrożenie zasad ochrony danych, takich, jak minimalizacja danych oraz w celu włączenia niezbędnej gwarancji przetwarzania, aby spełnić wymogi niniejszego rozporządzenia i chronić prawa osób, których dane dotyczą . ” W tym miejscu zachęcam do artykułu: Kara RODO za brak inspektora.
Również art. 5 RODO ustanawia jedną z zasad przetwarzania danych, a mianowicie: „przetwarzanie powinno odbywać się w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed nieuprawnionym lub nielegalnym przetwarzaniem oraz przed utratą, zniszczeniem lub pogorszeniem. Zastosowanie odpowiednich środków technicznych lub organizacyjnych było konieczne, zwłaszcza jeśli chodzi o integralność i poufność” ING Bank – Kara RODO.
Jednocześnie zgodnie z art. 32 RODO, wśród odpowiednich środków technicznych i organizacyjnych, które operator musi podjąć czynności, aby zapewnić odpowiedni poziom bezpieczeństwa do ryzyka, istnieje taki, dotyczący istnienia procesów okresowych, oceny skuteczności środków technicznych i organizacyjnych w celu zagwarantowania bezpieczeństwa przetwarzania. Jednym z możliwych środków, zwiększających poziom bezpieczeństwa danych jest Program do RODO. Zarządzanie bezpieczeństwem ma sens, jeśli wdrożymy odpowiednie procedury. Takie działania z pewnością zaproponuje inspektor ochrony danych, aplikacja pomoże je skutecznie wypełnić i zrealizować cykl Deminga, w kontekście RODO.
RODO – ochrona czy ryzyko?
Od pewnego czasu obserwujemy trend nakładania kar za błędy, których źródłem jest system informatyczny. Konsumenci komentują je pozytywnie, argumentując należną sprawiedliwością. Z punktu widzenia administratorów danych osobowych, konsekwencje finansowe oraz koszt utraty relacji jest ogromny. Dodając do tego grzywnę RODO, plus ewentualne kwoty odszkodowań, kara może być bardzo surowa. Z punktu widzenia małych firm, powstaje nowe krytyczne ryzyko. Każdego dnia postaramy się przybliżyć jeden przykład, w formie nowego wpisu na naszym blogu o tematyce rodo.