Przygotuj stertę papierów w RODO, bo inaczej kara 10 000 zł za utratę konta

Tomasz Król
prawnik piszący o m.in.: problemach osób niepełnosprawnych, ZUS, pracy, cywilistyce, administracji, przedsiębiorcach, podatkach
rozwiń więcej
Przygotuj stertę papierów w RODO, bo inaczej kara 10 000 zł za utratę konta / Przygotuj stertę papierów w RODO, bo inaczej kara 10 000 zł za utratę konta / Shutterstock

W przypadku włamania na konto firmowe przedsiębiorca może zapłacić karę. Nawet jeżeli nic nie zapobiegłoby atakowi hakera, to posiadanie odpowiednich dokumentów chroni przed karą, np. w wysokości 10 000 zł. Dlatego jako administratorzy danych gromadźcie dokumenty potwierdzające, że posiadacie regulacje dotyczące ochrony danych osobowych. Przeprowadzajcie analizy ryzyka dla procesu przetwarzania danych osobowych. Testujcie zabezpieczenia i oceniajcie ich skuteczność. W mojej opinii nie ma znaczenia, czy Wasze działania mają znaczenie praktyczne (w sensie tego, czy zapobiegłyby włamaniu na konto). Ważne, aby dysponować dokumentami pokazującymi Waszą staranność. Nie ochronią one przed hakerem, ale ochronią przed karą na podstawie przepisów RODO. Bez zgromadzenia odpowiednich dokumentów nawet niezawiniona utrata kontroli nad kontem e-mail oznacza nałożenie kary.

rozwiń >

Za włamanie na konto firmowe zapłaci np. doradca podatkowy, księgowa, architekt. Płaci się karę za utratę kontroli nad emailem nawet nie zawinioną.

Stan faktyczny i prawny przykładowej sprawy

Przykład

Kara finansowa w wysokości 11 594 zł została nałożona przez Prezesa UODO po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego. Sankcji administracyjnej podlega bowiem nie ten, kto jako administrator albo podmiot przetwarzający dopuścił do nieuprawnionego przetwarzania danych osobowych, a podmiot, który nie dochował odpowiedniego, w danych okolicznościach, standardu środków bezpieczeństwa.

Administrator był zobowiązany do podjęcia działań zapewniających właściwy poziom ochrony danych osobowych poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych. Przed stwierdzeniem naruszenia ochrony danych osobowych administrator nie posiadał odrębnych regulacji dotyczących ochrony danych osobowych oraz nie przeprowadzał analizy ryzyka dla procesu przetwarzania danych osobowych za pośrednictwem systemów objętych naruszeniem. Zabezpieczenia nie były testowane regularnie i nie oceniano ich skuteczności.

Klasyfikacja budżetowa 2027. Nowe rozporządzenie z komentarzem eksperta

Kalkulator dat

Kara za niewdrożenie środków zapewniających bezpieczeństwo danych osobowych

Prezes UODO Mirosław Wróblewski nałożył karę finansową w wysokości 11 594 zł na administratora prowadzącego kancelarię podatkową. W sprawie tej na skutek braku odpowiednich zabezpieczeń osoba nieuprawniona przejęła konto pocztowe, na którym znajdowały się dane osobowe 111 osób.

Przejęte emaila i dane ponad 100 osób

Administrator prowadzący kancelarię podatkową zgłosił Prezesowi UODO naruszenie ochrony danych osobowych polegające na uzyskaniu przez nieuprawniony podmiot dostępu do konta e-mail jednego z pracowników. W przejętej skrzynce e-mail przetwarzano łącznie dane osobowe ponad stu podmiotów danych – w tym klientów, ich pracowników oraz dzieci zgłoszonych do ubezpieczenia zdrowotnego.

UODO sprawdził, czy kancelaria właściwie zabezpieczała dane

Przedmiotowe zgłoszenie naruszenia było impulsem do dokonania oceny realizacji przez administratora obowiązków wynikających z przepisów RODO dotyczących właściwego zabezpieczenia danych oraz organizacji systemu ochrony danych osobowych w obszarze zarządzania danymi w postaci elektronicznej, w tym za pośrednictwem poczty elektronicznej.

Brak dowodów nie wyklucza naruszenia ochrony danych

Kancelaria wyjaśniła organowi nadzorczemu, że choć osoba nieuprawniona wysłała wiadomość z przejętego konta, to nie ma dowodu, by pozyskała ona przechowywane tam dane. Prezes UODO nie zgodził się z treścią wyjaśnień złożonych przez administratora. Nie wiadomo bowiem, kiedy dokładnie skrzynka była przejęta i jak długo była wykorzystywana w sposób nieuprawniony. Pracownik kancelarii używał jej sporadycznie. Dostawca usługi hostingowej zablokował skrzynkę w związku z uruchomieniem mechanizmu zabezpieczającego przed wysyłaniem spamu. Administrator nie był w stanie ustalić okoliczności, w jakich doszło do wysyłania spamu. Nie posiadał dostępu do logów ani innych środków pozwalających ustalić, czy doszło do pobrania danych przez nieuprawniony podmiot.

Prezes UODO wskazał, że zgodnie z RODO „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Brak dowodu na pozyskanie danych osobowych przez podmiot nieuprawniony nie oznacza, że nie doszło do naruszenia ochrony danych osobowych.

Jakie obowiązki administrator naruszył

Administrator był zobowiązany do podjęcia działań zapewniających właściwy poziom ochrony danych osobowych poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych. Przed stwierdzeniem naruszenia ochrony danych osobowych administrator nie posiadał odrębnych regulacji dotyczących ochrony danych osobowych oraz nie przeprowadzał analizy ryzyka dla procesu przetwarzania danych osobowych za pośrednictwem systemów objętych naruszeniem. Zabezpieczenia nie były testowane regularnie i nie oceniano ich skuteczności.

Działania naprawcze podjęto dopiero po incydencie

Po ujawnieniu naruszenia ochrony danych osobowych, ale już w trakcie prowadzonego przez Prezesa UODO postępowania, administrator podjął działania mające na celu realizację wymogów wynikających z rozporządzenia 2016/679. Administrator m.in. przeprowadził analizę ryzyka, wdrożył Politykę Bezpieczeństwa Informacji oraz inne regulacje. Administrator po wystąpieniu naruszenia ochrony danych osobowych przeprowadził również audyt infrastruktury informatycznej.

Prawo
Osoby niepełnosprawne z psami asystującymi bez skutecznej ochrony prawnej. Przepisy są, ale brak sankcji za ich łamanie
07 lip 2026

Osoby z niepełnosprawnościami korzystające z pomocy psów asystujących wciąż napotykają bariery w codziennym funkcjonowaniu. Do Rzecznika Praw Obywatelskich trafiają skargi na odmowy wstępu do restauracji, parków czy placówek zdrowia – mimo obowiązujących przepisów gwarantujących takie prawo. Regulacje istnieją, ale nie przewidują sankcji ani skutecznych narzędzi egzekwowania. Co robić?

Rząd zdecydował: będzie zmiana przepisów dotyczących karty parkingowej dla osób z niepełnosprawnościami. Wszystko przez kluczową datę 12 lipca 2026 r.
07 lip 2026

Rząd przygotował nowelizację rozporządzenia w sprawie wykazu dokumentów publicznych, która wykreśla kartę parkingową z katalogu dokumentów trzeciej kategorii. Powodem jest unijna dyrektywa wprowadzająca wspólny, europejski wzór karty parkingowej dla osób z niepełnosprawnościami – jej wdrożenie sprawia, że dostosowywanie obecnego, krajowego wzoru do nowych zabezpieczeń byłoby nieopłacalne i prowadziłoby do podwójnych kosztów budżetowych.

Przygotuj stertę papierów w RODO, bo inaczej kara 10 000 zł za utratę konta
07 lip 2026

W przypadku włamania na konto firmowe przedsiębiorca może zapłacić karę. Nawet jeżeli nic nie zapobiegłoby atakowi hakera, to posiadanie odpowiednich dokumentów chroni przed karą, np. w wysokości 10 000 zł. Dlatego jako administratorzy danych gromadźcie dokumenty potwierdzające, że posiadacie regulacje dotyczące ochrony danych osobowych. Przeprowadzajcie analizy ryzyka dla procesu przetwarzania danych osobowych. Testujcie zabezpieczenia i oceniajcie ich skuteczność. W mojej opinii nie ma znaczenia, czy Wasze działania mają znaczenie praktyczne (w sensie tego, czy zapobiegłyby włamaniu na konto). Ważne, aby dysponować dokumentami pokazującymi Waszą staranność. Nie ochronią one przed hakerem, ale ochronią przed karą na podstawie przepisów RODO. Bez zgromadzenia odpowiednich dokumentów nawet niezawiniona utrata kontroli nad kontem e-mail oznacza nałożenie kary.

Czy UE da wyjątki od zakazu? Inaczej nie będzie w sklepach zgrzewek butelek z mineralną, puszek, słoików
06 lip 2026

Przez media społecznościowe przetacza się dyskusja o tym, czy UE wprowadziła zakaz zgrzewek dla np. butelek wody mineralnej. To popularne opakowania dla zestawu 6 butelek w sklepach. Ich zniknięcie to mała rewolucja dla konsumentów i przedsiębiorców. Spory i nieporozumienia dotyczą daty zakazu (rzekomo już w połowie sierpnia 2026 r., w rzeczywistości od 2030 r.). Ale poważniejszy spór w dyskusjach internautów obejmuje to, czy zakaz zgrzewek od 2030 r. jest, czy go nie ma. Bo zakazy z unijnego rozporządzenia, które omówię w artykule, nie zawierają słowa „zgrzewka”, ale zwrot: „opakowania jednorazowego użytku z tworzyw sztucznych wykorzystywane w punkcie sprzedaży do grupowania produktów sprzedawanych w butelkach, puszkach, metalowych pudełkach, słoiczkach, kubkach i paczkach”. Są tu zgrzewki czy nie? Dodatkowo przepisy są tak skonstruowane, że UE w każdej chwili może wydać wytyczne: „zakaz nie obejmuje zgrzewek butelek wody mineralnej” albo przeciwnie: „zakaz obejmuje zgrzewki”. Stan na dziś jest taki, że KE, wydając wytyczne, zadecyduje, czy zgrzewki znikną ze sklepów, czy w nich pozostaną.

14. emerytura w 2026 roku: tabela brutto - netto. Kiedy wypłata z ZUS? Tylko kwota najniższej emerytury, czy rząd uchwali więcej?
06 lip 2026

Dodatkowe roczne świadczenie pieniężne, potocznie zwane czternastą emeryturą, będzie w 2026 roku wypłacone we wrześniu, podobnie jak w poprzednich trzech latach. Tak wynika z założeń projektu rozporządzenia Rady Ministrów w sprawie określenia miesiąca wypłaty kolejnego dodatkowego rocznego świadczenia pieniężnego dla emerytów i rencistów w 2026 r., opublikowanych 29 czerwca 2026 r. Najprawdopodobniej "czternastka" wyniesie w 2026 roku 1978,49 zl brutto, a więc tyle, ile wynosi najniższa emerytura. Jakie kwoty netto otrzymają emeryci i renciści?

ZUS: Od lipca 2026 r. łatwiej składać wnioski (i załączone dokumenty) o zasiłki z ubezpieczeń społecznych
06 lip 2026

Od 1 lipca 2026 r. obowiązują prostsze zasady składania dokumentów niezbędnych do ustalenia prawa do zasiłków z ubezpieczeń społecznych. Sposób złożenia dokumentów zależy od tego, kto wypłaca zasiłek – ZUS czy pracodawca.

Część produktów zniknie ze sklepów. Od 20 lipca rewolucyjny zakaz uderzy w handel. Polacy będą zaskoczeni
06 lip 2026

Nadchodzi potężne tąpnięcie w branży spożywczej i handlowej w Polsce oraz całej Unii Europejskiej. Już 20 lipca mija kluczowa data graniczna. Od tego dnia wchodzi w życie bezwzględny zakaz wprowadzania na rynek nowych opakowań do żywności zawierających kontrowersyjną substancję. Rewolucja dotknie miliony konsumentów, a mniejsi producenci mogą mieć ogromne kłopoty.

System kaucyjny rośnie w siłę. Polacy oddali już 1,5 mld opakowań
06 lip 2026

System kaucyjny w Polsce rozwija się szybciej, niż zakładano. Od jego startu konsumenci zwrócili już ponad 1,5 mld opakowań, a operatorzy stoją przed ambitnym celem osiągnięcia 77 proc. zbiórki w tym roku i 90 proc. w kolejnych latach. Kluczową rolę w dalszym wzroście ma odegrać rozbudowa sieci punktów zwrotu poza sklepami – w tym na osiedlach mieszkaniowych.

Ojciec nie płaci na dziecko? Matki wpadają w tę pułapkę, a alimenciarze czują się bezkarni
05 lip 2026

To potężny problem społeczny, który w 2026 roku dotyka setek tysięcy polskich rodzin. Gdy ojciec unika łożenia na utrzymanie własnego dziecka, zdesperowane matki często decydują się na krok, który w świetle prawa obraca się przeciwko nim. Jak zatem skutecznie i legalnie walczyć z alimenciarzem?

Renta wdowia wzrośnie do 50 proc.? Padła konkretna data zmian
06 lip 2026

Renta wdowia może w przyszłości wynosić 50 proc. drugiego świadczenia zamiast planowanych 25 proc. Taką zapowiedź złożył marszałek Sejmu Włodzimierz Czarzasty, wskazując 2028 rok jako termin wprowadzenia zmian. Polityk zapowiedział również rozszerzenie prawa do świadczenia na wszystkich wdowców i wdowy. Wyjaśniamy, co obecnie obowiązuje, kto może otrzymać rentę wdowią i jakie warunki trzeba spełnić.

pokaż więcej
Proszę czekać...