Przetwarzanie danych osobowych za pomocą aplikacji do obsługi kart podarunkowych niespełniającej wymogów bezpieczeństwa doprowadziło do ukarania dwóch islandzkich firm. Sprawdzamy, na czym polegały nieprawidłowości.
Kary wymierzono islandzkiemu Ministerstwu Przemysłu i Innowacji (ok. 50 800 euro) oraz firma YAY ehf (ok. 27 100 euro). Rząd Islandii zawarł bowiem umowę ze wspomnianą firmą, która przygotowała aplikację mającą na celu obsługę cyfrowych kart podarunkowych wydawanych obywatelom w związku z pandemią COVID-19.
Jak się okazało, aplikacja ta miała nieodpowiednie ustawienia. W konsekwencji jej stosowanie powodowało gromadzenie nadmiarowych danych osobowych użytkowników, a także uzyskanie praw dostępu do urządzeń mobilnych tych osób. To jednak nie wszystko. Aplikacja nie spełniała wymogów zgody na przetwarzanie danych osobowych. Nieprawidłowości dotyczyły również obowiązku informacyjnego.
Przede wszystkim jednak ani administrator, ani podmiot przetwarzający nie zagwarantowali odpowiedniego poziomu bezpieczeństwa danych osobowych użytkowników.
Zabrakło tego już w fazie projektowania i domyślnej ochrony danych. Nie zawarto także umowy powierzenia przetwarzania.
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
© Portal Poradyodo.pl