DKN.5131.34.2023opublikowano25 czerwca 2026Decyzja Prezesa UODO nr DKN.5131.34.2023nieprawomocnanałożenie na administratora (przedsiębiorcę prowadzącego biuro rachunkowo-księgowe i doradztwo podatkowe) administracyjnej kary pieniężnej z powodu naruszenia przepisów RODO dotyczących bezpieczeństwa przetwarzania oraz zasad poufności, integralności i rozliczalności przez niewdrożenie — na podstawie analizy ryzyka — odpowiednich środków technicznych i organizacyjnych zabezpieczających dane przetwarzane za pośrednictwem poczty elektronicznej oraz brak regularnego testowania, mierzenia i oceniania skuteczności tych środków — w postępowaniu wszczętym z urzędu po zgłoszeniu naruszenia ochrony danych osobowych polegającego na uzyskaniu przez nieuprawniony podmiot dostępu do służbowej skrzynki e-mail pracownika, na której przetwarzano szeroki zakres danych klientów biura, ich pracowników oraz dzieci zgłaszanych do ubezpieczenia.
DKN.5131.12.2022opublikowano13 lipca 2026Decyzja Prezesa UODO nr DKN.5131.12.2022nieprawomocnaudzielenie placówce medycznej (administratorowi) upomnień oraz udzielenie zewnętrznemu dostawcy usług pocztowych (podmiotowi przetwarzającemu) upomnienia, a w pozostałym zakresie umorzenie postępowania — z powodu naruszenia przez administratora obowiązku weryfikacji, przed powierzeniem przetwarzania i w jego trakcie, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, braku wdrożenia takich środków zapewniających bezpieczeństwo danych przetwarzanych za pośrednictwem poczty elektronicznej pełniącej funkcję wewnętrznego systemu obiegu dokumentacji (co naruszyło zasady poufności i rozliczalności), a także braku przeprowadzenia oceny skutków dla ochrony danych mimo takiego sposobu przetwarzania — oraz z powodu naruszenia przez podmiot przetwarzający obowiązku wdrożenia odpowiednich środków technicznych i organizacyjnych zabezpieczających powierzone mu dane — w postępowaniu wszczętym z urzędu wskutek zgłoszenia naruszenia ochrony danych osobowych polegającego na nieuprawnionym przejęciu skrzynki pocztowej administratora, utrzymywanej u zewnętrznego dostawcy, co doprowadziło do ujawnienia danych osobowych pracowników, kontrahentów oraz pacjentów, w tym danych dotyczących stanu zdrowia i zapisów na szczepienia ochronne.
DKE.561.1.2026opublikowano6 lipca 2026Decyzja Prezesa UODO nr DKE.561.1.2026nieprawomocnaudzielenie upomnienia lekarzowi prowadzącemu indywidualną działalność gospodarczą, z powodu naruszenia przepisów RODO dotyczących obowiązku współpracy z organem nadzorczym oraz zapewnienia mu dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań — przez wielokrotny brak odpowiedzi na wezwania organu do złożenia wyjaśnień w prowadzonych postępowaniach skargowych — w postępowaniu wszczętym z urzędu wskutek nieudzielenia informacji potrzebnych do rozpatrzenia skarg na nieprawidłowe przetwarzanie danych osobowych pacjentów, przy czym naruszenie zostało usunięte w toku tego postępowania, gdy strona ostatecznie przekazała żądane wyjaśnienia.
DKE.561.4.2026opublikowano6 lipca 2026Decyzja Prezesa UODO nr DKE.561.4.2026nieprawomocnanałożenie na osobę fizyczną stosującą monitoring wizyjny administracyjnej kary pieniężnej, z powodu nieprzestrzegania prawomocnego nakazu organu nadzorczego zobowiązującego do zaprzestania przetwarzania danych osobowych (wizerunku i głosu) sąsiadów za pomocą monitoringu wizyjnego wykraczającego poza granice własnej nieruchomości i obejmującego drogę publiczną oraz nieruchomości sąsiednie — w postępowaniu wszczętym z urzędu po stwierdzeniu, w toku sprawdzenia wykonania nakazu oraz na skutek skargi osoby nim objętej, że mimo uprawomocnienia się decyzji nakazujący nadal prowadzi zakazany monitoring, uchylając się zarazem od odbioru urzędowej korespondencji i od jakiejkolwiek współpracy z organem.
DKN.5131.27.2023opublikowano29 czerwca 2026Decyzja Prezesa UODO nr DKN.5131.27.2023nieprawomocnanałożenie na gminny ośrodek pomocy społecznej (administratora) administracyjnej kary pieniężnej oraz nakazanie zawiadomienia osób dotkniętych naruszeniem, z powodu naruszenia przepisów RODO dotyczących bezpieczeństwa i poufności przetwarzania, uwzględniania ochrony danych w fazie projektowania oraz rozliczalności — przez niewdrożenie odpowiednich środków technicznych i organizacyjnych (w tym rzetelnej analizy ryzyka), co doprowadziło do utraty poufności danych, a także niezgłoszenie naruszenia organowi nadzorczemu i niezawiadomienie o nim osób, których dane dotyczą — w postępowaniu wszczętym z urzędu wskutek informacji o ujawnieniu w internecie listy mieszkańców objętych kwarantanną i izolacją (obejmującej również dane o stanie zdrowia), którą pracownik koordynujący udzielanie pomocy umieścił na prywatnym serwerze, skąd została zindeksowana przez wyszukiwarkę internetową i upubliczniona.
DKE.561.13.2025opublikowano6 lipca 2026Decyzja Prezesa UODO nr DKE.561.13.2025nieprawomocnanałożenie administracyjnej kary pieniężnej za niezapewnienie Prezesowi Urzędu Ochrony Danych Osobowych dostępu do informacji niezbędnych do realizacji jego zadań, to jest do prowadzenia postępowania o sygn. DKN.5101.155.2025.
DKN.5131.17.2025opublikowano25 maja 2026Decyzja Prezesa UODO nr DKN.5131.17.2025nieprawomocnanałożenie administracyjnej kary pieniężnej za niezgłoszenie Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.
DKN.5131.7.2022opublikowano24 czerwca 2026Decyzja Prezesa UODO nr DKN.5131.7.2022nieprawomocnaudzielenie upomnienia administratorowi oraz dwóm agentom i subagentowi, nałożenie kary administracyjnej na subagenta oraz umorzenie postępowanie w pozostałym zakresie, z powodu naruszenia przepisów RODO dotyczących bezpieczeństwa przetwarzania, weryfikacji podmiotów przetwarzających oraz zasad poufności i rozliczalności przez niewdrożenie odpowiednich środków technicznych i organizacyjnych oraz brak należytej weryfikacji podmiotu przetwarzającego - w postępowaniu wszczętym wskutek zgłoszenia naruszenia ochrony danych osobowych, polegającego na samowolnym, nieautoryzowanym wykorzystywaniu przez handlowców subagenta popularnego komunikatora internetowego na prywatnych smartfonach do przesyłania zdjęć i skanów umów oraz danych klientów spółki w ramach sprzedaży bezpośredniej.
DKN.5131.16.2025opublikowano20 kwietnia 2026Decyzja Prezesa UODO nr DKN.5131.16.2025nieprawomocnanałożenie administracyjnej kary pieniężnej za niezgłoszenie Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.
DKN.5112.13.2023opublikowano23 marca 2026Decyzja Prezesa UODO nr DKN.5112.13.2023prawomocnanałożenie administracyjnej kary pieniężnej za: niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych oraz ochronę praw osób, których dane dotyczą, dobranych na podstawie przeprowadzonej analizy ryzyka uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych; niewdrożenie w rozliczalny sposób dokumentu pełniącego funkcję polityki ochrony danych oraz niedostosowanie jego treści do specyfiki przetwarzania danych osobowych przez ten podmiot, co skutkowało naruszeniem zasady integralności i poufności. Udzielenie upomnienia za: niespełnienie w sposób przejrzysty obowiązku informacyjnego wobec osób, których dane osobowe są przetwarzane; powierzenie przetwarzania danych osobowych spółce na podstawie umów lub innych instrumentów prawnych, niespełniających wymogów określonych w art. 28 ust. 3 rozporządzenia 2016/679; nadanie upoważnień do przetwarzania danych niezapewniających odpowiedniego poziomu bezpieczeństwa danych osobowych; niewskazanie w rejestrze czynności przetwarzania planowanego terminu usunięcia danych dla większości wymienionych w nim czynności.