Kary RODO za naruszenia ochrony danych - przegląd orzeczeń zagranicznych organów nadzorczych
Co oczywiste, najlepiej uczyć się na cudzych błędach. Warto zatem sięgnąć do orzecznictwa Prezesa Urzędu Ochrony Danych Osobowych ale też zagranicznych organów nadzorczych i wyciągnąć wnioski z naruszeń ukaranych administratorów. Przedstawiamy w związku z tym przegląd wybranych orzeczeń zagranicznych organów nadzorczych z 2023 i 2024 r.
|
Tematyka |
Orzeczenie (kogo dotyczy, kraj, wysokość kary) |
Wyjaśnienia (wskazówki) |
|
Podstawy przetwarzania danych osobowych |
Francja HUBSIDE.STORE 525 tys. euro |
Administrator przetwarzał dane osobowe konsumentów w rozmowach telefonicznych i SMSach prowadząc tzw. kampanie poszukiwawcze. Dane były pozyskiwane m.in. od brokerów. Przetwarzanie to nie było oparte na jakiejkolwiek podstawie z art. 6 RODO. Więcej informacji: Kara za przetwarzanie danych osobowych w rozmowach telefonicznych bez podstawy prawnej |
|
France Amazon France Logistique 32 mln euro |
Kontrola jakości pracy może uzasadniać przetwarzanie danych osobowych pracowników. Niemniej jednak za nadmiarowe uznano przetwarzanie danych osobowych za pomocą specjalnego skanera w celu ustalenia np. okresów przerw w wykonywaniu czynności służbowych. System ten został zakwalifikowany jako zbyt inwazyjny. Więcej informacji: Amazon France Logistique z karą za nadmiarowe przetwarzanie danych osobowych pracowników w ramach kontroli jakości pracy |
|
|
Chorwacja EOS Matrix d.o.o. 5,47 mln euro |
Stwierdzono przetwarzanie danych osobowych dużej grupy dłużników (ponad 181 tys. osób) przez firmę windykacyjną – bez podstawy prawnej. Dotyczyło to także danych osobowych szczególnej kategorii (o zdrowiu). Firma windykacyjna może przetwarzać takie dane na mocy określonej podstawy przetwarzania. Sam fakt świadczenia usług windykacyjnych może być tu niewystarczającym argumentem. Nie wdrożono także środków bezpieczeństwa adekwatnych do poziomu ryzyka wiążącego się z przetwarzaniem danych tak znacznej grupy. Więcej informacji: Firma windykacyjna musi zapłacić ponad 5 mln za liczne naruszenia ochrony danych |
|
|
Francja Criteo 40 mln euro |
Francuska firma została ukarana m.in. za brak podstawy przetwarzania danych osobowych w ramach reklamy behawioralnej. Przetwarzanie danych osobowych klientów w ramach takiej reklamy wymaga ich zgody. Firma nie wykazała pozyskania takich zgód. Uniemożliwiła także ich wycofanie. Więcej informacji: Kara za przetwarzanie danych w reklamie behawioralnej |
|
|
Obowiązek informacyjny |
Belgia Black Tiger Belgium łącznie 174 640 euro |
Wymogi RODO dotyczą także przypadku przetwarzania danych osobowych znajdujących się w ogólnodostępnych rejestrach. Pozyskując dane osobowe z takich rejestrów, administrator musi spełnić obowiązek informacyjny – nie zachodzi tu żaden wyjątek z art. 14 ust. 5 RODO. Więcej informacji: Pozyskując dane osobowe z publicznych rejestrów, należy spełnić obowiązek informacyjny RODO |
|
Luksemburg firma oferująca usługi komunikacji elektronicznej 1,5 tys. euro |
Wykonując obowiązek informacyjny RODO, należy poinformować także o odbiorcy. Takowym odbiorcą jest również podmiot przetwarzający. Więcej informacji: Klauzula informacyjna musi zawierać informację o podmiocie przetwarzającym jako odbiorcy |
|
|
Spotify AB Szwecja ok. 5 mln euro |
Klauzula informacyjna RODO powinna być sporządzona w sposób zrozumiały dla użytkownika. To oznacza konieczność użycia języka ojczystego użytkownika. Więcej informacji: Wysoka kara dla Spotify za niezapewnienie dostępu do danych osobowych |
|
|
Prawa podmiotów danych |
Węgry linie lotnicze 5 mln forintów (ok. 13 244 euro) |
Węgierskie linie lotnicze wprawdzie usunęły dane osobowe na żądanie klienta. Niemniej jednak nie zachowały reguły przejrzystości i nie poinformowały klienta o usunięciu jego danych osobowych, a to skończyło się karą. Należy więc pamiętać o każdorazowym poinformowaniu podmiotu danych o realizacji tzw. prawa do bycia zapomnianym. Więcej informacji: Linie lotnicze nie informują o usunięciu danych osobowych |
|
Węgry linie lotnicze kara nagany |
Realizacja praw podmiotów danych musi być terminowa. Zgodnie z art. 12 ust. 3 RODO administrator musi bez zbędnej zwłoki, ale nie później niż w terminie 1 miesiąca od otrzymania żądania – udzielić, której dane dotyczą, informacji o działaniach podjętych w związku z jej żądaniem np. usunięcia danych. Administrator, który zrealizuje dane uprawnienie (np. do usunięcia danych) ale ze zwłoką, naraża się na karę. Więcej informacji: Linie lotnicze z karą za niedotrzymanie terminu usunięcia danych osobowych |
|
|
Szwecja H&M 28,5 tys. euro |
Brak niezwłocznej reakcji na sprzeciw czyli niezaprzestanie bez zbędnej zwłoki przetwarzania danych osobowych skarżących na potrzeby marketingu bezpośredniego stanowi naruszenie wymogów RODO. Administrator powinien wdrożyć systemy ułatwiające złożenie sprzeciwu. Więcej informacji: H&M z karą za naruszenie ochrony danych w związku z marketingiem bezpośrednim |
|
|
Niemcy Schufa 300 tys. euro |
Na żądanie osoby, której dane dotyczą, należy podać informacje o:
Poza tym w związku z profilowaniem administrator musi zapewnić podmiotom danych co najmniej prawo do:
Więcej informacji: Profilowanie w kontekście oceny zdolności kredytowej – kara dla banku |
|
|
Francja FREE 300 tys. euro |
Niewłaściwe zorganizowanie dostępu do danych osobowych może prowadzić do kary pieniężnej. Dlatego warto opracować procedurę realizacji uprawnień podmiotów danych, w tym w zakresie dostępu do danych osobowych. Więcej informacji: Francja: kara za niewłaściwe zarządzanie wnioskami o dostęp do danych |
|
|
Francja Geoscoot 125 tys. euro |
Geolokalizacja nie jest rozwiązaniem zakazanym. Niemniej jednak musi być ona stosowana jedynie w zakresie założonego celu. Nie może ona nadmiernie ingerować w prywatność klientów firmy. Więcej informacji: Kolejna kara za nadmiarową geolokalizację |
|
|
Środki bezpieczeństwa |
Szwecja Trygg-Hansa 35 mln koron szwedzkich (ok. 2,8 mln euro) |
Nieprawidłowości w zastosowanych środkach bezpieczeństwa danych doprowadziły do wycieków danych osobowych wielu klientów firmy ubezpieczeniowej. W ocenie organu nadzorczego można było je usunąć, projektując system informatyczny zgodnie z regułą privacy by design Więcej informacji: Wyciek danych osobowych klientów firmy ubezpieczeniowej |
|
Francja Doctissimo 380 tys. euro |
Korzystanie z protokołu „http” rodzi ryzyko wycieku danych osobowych użytkowników serwisu internetowego. Właśnie taką praktykę stosowała francuska firma, co skończyło się karą pieniężną. Więcej informacji: 380 tys. euro kary za naruszenie ochrony danych wrażliwych |
|
|
Francja Discord 800 tys. euro |
Projektując dane rozwiązanie, administrator musi zapewnić domyślną ochronę danych (privacy by default. Ukarana firma w ramach swojej platformy nie zapewniała takiego rozwiązania. Gdy użytkownik platformy zalogowany do pokoju głosowego zamykał okno aplikacji (klikając w tym celu ikonę „X” w prawym górnym rogu okna), to aplikacja nie była zamykana, lecz jedynie minimalizowana. W efekcie użytkownik pozostawał zalogowany w pokoju głosowym i mógł być nieświadomy, że nadal go słychać. Więcej informacji: Discord z karą za naruszenie ochrony danych |
- Personel musi dbać o ochronę danych osobowych pacjentów w dokumentacji medycznej
- RODO a umowa serwisowa - kiedy konieczna umowa powierzenia przetwarzania danych osobowych
- Jak zrealizować obowiązek informacyjny RODO mikroprzedsiębiorców
- RODO na YouTube - ochrona danych osobowych jako obowiązek youtubera
- Biuletyn Informacji Publicznej - administrator musi zawrzeć umowę powierzenia przetwarzania danych
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
