Włochy: kara za przypadkowe ujawnienie danych klientów w e-mailu
Przypadkowe wysłanie zbiorczego e-maila do klientów spółki spowodowało wyciek danych osobowych o zdrowiu. W efekcie włoski organ nadzorczy nałożył na spółkę karę pieniężną w wysokości 45 tys. euro.
Przypadkowe ujawnienie adresów e-mail wszystkich klientów
Pracownik administratora w ramach działań marketingowych wysłał do klientów jeden zbiorczy e-mail. Nie byłby to problem, gdyby nie to, że w wiadomości w polu „DW” (zamiast „UDW”) podane zostały maile pozostałych ok. 2002 klientów (pacjentów). W efekcie każdy odbiorca mógł przeglądać adresy e-mail pozostałych odbiorców.
Nieuprawniony dostęp do danych o zdrowiu
W mailu znalazły się zaś dane osobowe dotyczące stanu zdrowia a więc szczególnej kategorii. Były to dane pacjentów, którzy leczyli się na cukrzycę. W efekcie każdy pacjent mógł powziąć informacje o stanie zdrowia innego pacjenta.
Ujawnienie danych osobowych szczególnej kategorii pozostałym pacjentom w ocenie włoskiego organu nadzorczego stanowiło naruszenie reguły legalizmu, rzetelności i przejrzystości (art. 5 ust. 1 lit. a RODO i art. 9 RODO). W szczególności doszło tu do przetwarzania danych osobowych szczególnej kategorii bez podstawy prawnej.
Pozostałe naruszenia
Poza tym włoski organ nadzorczy stwierdził również naruszenia w zakresie obowiązku informacyjnego. Jako że administrator to firma amerykańska, zrzucono także niewyznaczenie przedstawiciela w UE (art. 27 RODO). To wszystko przełożyło się na karę w wysokości 45 tys. euro.
- Pracownik w delegacji – jak wygląda przekazywanie jego danych osobowych do państwa trzeciego
- Mechanizmy dochodzenia roszczeń w związku z wdrożeniem ram ochrony danych UE - USA
- Upoważnienie do przetwarzania danych osobowych czy oświadczenie o poufności
- TSUE: Identyfikator personalizacji reklam zaliczany do danych osobowych według RODO
- Kara za przetwarzanie danych osobowych w rozmowach telefonicznych bez podstawy prawnej
- Zgoda marketingowa – czy także od firmy lub instytucji
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
