Islandia: kary za aplikację mobilną niezgodną z wymogami RODO
Przetwarzanie danych osobowych za pomocą aplikacji do obsługi kart podarunkowych niespełniającej wymogów bezpieczeństwa doprowadziło do ukarania dwóch islandzkich firm. Sprawdzamy, na czym polegały nieprawidłowości.
Problemem aplikacja do obsługi kart podarunkowych
Kary wymierzono islandzkiemu Ministerstwu Przemysłu i Innowacji (ok. 50 800 euro) oraz firma YAY ehf (ok. 27 100 euro). Rząd Islandii zawarł bowiem umowę ze wspomnianą firmą, która przygotowała aplikację mającą na celu obsługę cyfrowych kart podarunkowych wydawanych obywatelom w związku z pandemią COVID-19.
Nieprawidłowości w aplikacji
Jak się okazało, aplikacja ta miała nieodpowiednie ustawienia. W konsekwencji jej stosowanie powodowało gromadzenie nadmiarowych danych osobowych użytkowników, a także uzyskanie praw dostępu do urządzeń mobilnych tych osób. To jednak nie wszystko. Aplikacja nie spełniała wymogów zgody na przetwarzanie danych osobowych. Nieprawidłowości dotyczyły również obowiązku informacyjnego.
Przede wszystkim jednak ani administrator, ani podmiot przetwarzający nie zagwarantowali odpowiedniego poziomu bezpieczeństwa danych osobowych użytkowników.
Zabrakło tego już w fazie projektowania i domyślnej ochrony danych. Nie zawarto także umowy powierzenia przetwarzania.
- newsletter UODO dla IOD (styczeń 2022 r.)
- Informacja publiczna na wniosek dziennikarza – czy podlega anonimizacji
- Pozyskanie zaświadczenia o niekaralności z Krajowego Rejestru Karnego może skutkować naruszeniem RODO
- Santander Bank Polska z wysoką karą UODO za niezgłoszenie naruszenia ochrony danych
- Linie lotnicze nie informują o usunięciu danych osobowych
- Co po kontroli RODO – jak przebiega postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych
- Jak wygląda kontrola RODO przeprowadzana przez Prezesa Urzędu Ochrony Danych Osobowych - w 2024 r.
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
