U prostorije organizacije koja pruža psihološku i pravnu pomoć počinjena je provala i pri tom su ukradeni dosjei.
Ministarstvo pravosuđa, koje je vodilo istragu, prijavilo je provalu i krađu sa sumnjom na povredu podataka nacionalnom tijelu za zaštitu osobnih podataka čime su nevolje organizacije postale još značajnije.
Organizacija nije ispoštovala GDPR obveze i nije sama, odmah po saznanju, prijavila povredu podataka nadzornom tijelu i nije o tome obavijestila i osobe o čijim se dosjeima radilo, iako su dosjei sadržavali značajne količine osobnih podataka pojedinaca čije neovlašteno otkrivanje, pristup, izmjene, krađa, uništenje i gubitak, mogu uzrokovati visok rizik za kompromitirane pojedince.
Organizacija je smatrala da povreda osobnih podataka 96 osoba u ukradenim dosjeima nije tako ozbiljnog karaktera i kažnjena je s 3.000 EUR.
Da ponovimo gradivo:
Članak 33. GDPR-a
1. U slučaju povrede osobnih podataka voditelj obrade bez nepotrebnog odgađanja i, ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi, izvješćuje nadzorno tijelo nadležno u skladu s člankom 55. o povredi osobnih podataka, osim ako nije vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinaca.
Članak 34. GDPR-a
1. U slučaju povrede osobnih podataka koje će vjerojatno prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade bez nepotrebnog odgađanja obavješćuje ispitanika o povredi osobnih podataka.
Više o poljskom slučaju:
https://gdprhub.eu/index.php?title=UODO_(Poland)_-_DKN.5131.11.2020&mtc=today
