Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Rzecznik Dyscyplinarny Izby Adwokackiej z karą od UODO. Wysłali pismo z informacją o dołączonym pendrive z wrażliwymi danymi. Przesyłka uszkodzona, pendrive zniknął.
Dość nietypowy przypadek naruszenia RODO:
Rzecznik Dyscyplinarny Izby Adwokackiej (…) dokonał zgłoszenia naruszenia. (…) Do siedziby Administratora zgłosił się obrońca obwinionego w postępowaniu dyscyplinarnym prowadzonym przed Rzecznikiem Dyscyplinarnym Izby Adwokackiej w X. Obrońca poinformował pracowników Administratora o otrzymaniu uszkodzonej przesyłki, w której wbrew treści pisma przewodniego brakowało załącznika w postaci zewnętrznego nośnika danych (pendrive). Nośnik zawierał nagranie rozprawy rozwodowej z danymi osobowymi 8 osób w zakresie imienia, nazwiska, szczegółów dotyczących życia rodzinnego, relacji stron oraz podejrzeń o niewierność małżeńską.
Czy pendrive był szyfrowany? Hmmm. W procedurach tak, w rzeczywistości nie:
W związku z ww. zgłoszeniem naruszenia, (…) Prezes Urzędu Ochrony Danych Osobowych zwrócił się do Administratora o złożenie dodatkowych wyjaśnień w zakresie wskazania, czy zewnętrzny nośnik danych (pendrive), będący przedmiotem naruszenia, został zaszyfrowany zgodnie z procedurami, na które powołał się administrator w punkcie 9A formularza zgłoszenia naruszenia z dnia (…) czerwca 2021 r., tj. „szyfrowanie, hasłowanie plików zawierających dane osobowe”. W odpowiedzi z dnia (…) marca 2022 r. Administrator wskazał, iż przedmiotowy nośnik nie został zaszyfrowany.
Urząd nałożył karę w wysokości 23 580 PLN.
~ms
ciekaw jestem niezmiernie ile z tej kwoty dostaną pokrzywdzeni???
czy jakieś odszkodowanie dostanie adwokat zgłaszający sprawę, przecież nie może wykonywać swoich obowiązków w związku z incydentem…
Czy ewentualna kara idzie w całości do skarbu państwa???
Naprawdę ciekaw jestem co się później dzieje z zapłaconymi karami za incydent RODO
_Kara_ wynikająca z zapisów KW, KK, czy innego KPA idzie do skarbu państwa. Jeśli jest pokrzywdzony, może się domagać zadośćuczynienia/odszkodowania na drodze cywilnej. To są dwie osobne sprawy. (Aczkolwiek czasem można, z tego co pamiętam, jakoś łączyć postępowania, ale nie pamiętam szczegółów; to było za dawno).
No ciekawe :)
Tak teraz mnie naszło jeszcze co by było gdyby do tego dodać jeszcze zastrzeżony numer pesel (co ma wchodzić dopiero u nas) ? Wtedy znowu jest zmieniony, kto go zmienia itp ? :)
Też sobie zadaje to pytanie, ale odpowiedź nasuwa się sama.
Te pokrzywdzone 8 osób nie dostanie z tego nic… Najpewniej to nie jest nawet kara personalna, tylko „oberwie cała izba”. Czyli dojdzie jedynie do transferu niewielkiego kapitału do puli publicznych pieniędzy, które zostaną następnie standardowo zmarnowane. Nikt realnie nie ucierpi, nikogo to nie zaboli, a w tym czasie niezaszyfrowane pendrive-y dalej będą wysyłane pocztą, bo ludzka głupota i brak wyobraźni granic nie znają.
Zadośćuczynienie to są śmieszne pieniądze. Nie jest to warte zachodu, dla przykładu, była sprawa z ID Finance jakiś czas temu. Pokłosiem tego wycieku był pozew pewnego pana, który się bardzo zaniepokoił i zażądał 30.000 zł zadośćuczynienia. Powód wygrał. w 5% xD Innymi słowy, sąd przyznał mu 1.500 zł zadość. Co w tym wszystkim najlepsze? Musi zwrócić ponad 3.000 zł kosztów sądowych pozwanej spółce. xD (dla ciekawskich: SO w Wawie, III C 280/22; orzeczenie nieprawomocne; można znaleźć w bazie orzeczeń)
Co do samej kary na Rzecznika Dyscyplinarnego, najciekawsze w tym wszystkim jest to, że zgubiony pendrive należał do obrońcy, a rzecznik po prostu go odsyłał po wykorzystaniu. Więc siłą rzeczy nie mógł tego pendrive’a zabezpieczyć, bo to nie jego sprzęt!
Czyżby PUODO znowu nie zbadał stanu faktycznego? What a surprise, huh?
Kara w całości zasila budżet. Ofiary nie dostaną nic. Więc tym bardziej śmieszą kary nakładane na urzędy i inne podmioty publiczne.
Pokrzywdzeni musza wystapic do sadu osobno. To jest tylko kara administracyjna. Podobnie jest w przypadku kar nakladanych przez UOKiK: wielomilionowe kary dla np. operatorow i tylko naprawa szkody w postaci zwrotu jakichs drobnych dla tych ktorzy faktycznie zostali poszkodowani.
Art. 104. Środki z administracyjnej kary pieniężnej stanowią dochód budżetu państwa.
Co więcej, żeby dostać „odszkodowanie”, to trzeba udowodnić szkodę. Samo poczucie krzywdy nie wystarczy.
I tak, i nie. Szkoda może być majątkowa (np. gdy w związku z naruszeniem wykupiliśmy dodatkowe ubezpieczenie), ale może być też niemajątkowa (inaczej krzywda; pogorszenie stanu psychicznego związane z całą sytuacją). Za szkodę majątkową dostajemy „odszkodowanie”, a za niemajątkową „zadośćuczynienie”. Przepis RODO brzmi tutaj trochę niefortunnie, bo mówi szeroko o „odszkodowaniu”, ale w rzeczywistośc polskiego prawa nie ma to znaczenia, bo i tak dochodzi do zbiegu przepisów z Kodeksem Cywilnym (art 23 i 24 + 448; naruszenie dóbr osobistych).
Szkoda niemajątkowa może wystarczyć do uzyskania zadośćuczynienia, ale musi być uzasadniona i co najważniejsze, musi istnieć związek między szkodą a naruszeniem.
Więc odnosząc się do Twojego komentarza raczej bym to ujął w ten sposób: Samo naruszenie przepisów RODO nie powoduje automatycznego przyznania odszkodowania / zadośćuczynienia. Do tego potrzebne jest udowodnienie szkody (w tym krzywdy) ORAZ związku przyczynowo-skutkowego między naruszeniem a szkodą.
Przykład? SO w Wawie, III C 280/22 i Trybunał Sprawiedliwości UE, C‑300/21
hahahahahahah,
naszą pocztą poszło?
Cenzura na tej stronie też nie zna granic z tego co widze.
oj przepraszam :) okazalem się niecierpliwy
Oczywiście ze trafia do skarbu panstwa Łukaszu
Kara jak zwykle niewspółmierna do szkody. Ryzyko, że zawartość tego pendrivea zostanie użyta przeciwko poszkodowanemu jest niewielka.