Podstawa prawna naruszenia
Art. 5 ust. 1, 2, art. 6 ust. 1, art. 7, art. 15 ust. 1, art. 16, art. 21, art. 24, art. 25 ust. 1, art. 32, art. 33 RODO.
Nieprzestrzeganie ogólnych zasad przetwarzania danych.
Przyczyna naruszenia
Vodafone naruszyło przepisy dotyczące ochrony danych osobowych, głównie poprzez nielegalne przetwarzanie danych osobowych bez odpowiedniej zgody. Firma nie wdrożyła odpowiednich systemów kontroli, co doprowadziło do licznych nieautoryzowanych kontaktów promocyjnych oraz nielegalnych aktywacji usług.
Opis wydarzeń
- Skargi i dochodzenie: Od grudnia 2018 do czerwca 2020, Vodafone otrzymało setki skarg dotyczących niechcianych kontaktów telefonicznych. Dochodzenie wykazało, że wiele z tych kontaktów pochodziło od numerów, które nie były zarejestrowane w systemie Vodafone.
- Brak zgody: Vodafone korzystało z list danych osobowych dostarczonych przez zewnętrznych partnerów bez odpowiedniej zgody na przekazanie tych danych. Dotyczyło to około 4,5 miliona osób.
- Błędy systemowe i ludzkie: Vodafone tłumaczyło, że wiele niechcianych kontaktów było wynikiem błędów ludzkich lub systemowych.
- Naruszenia bezpieczeństwa: Wystąpiły liczne przypadki nieautoryzowanego dostępu do baz danych Vodafone, co skutkowało wyciekiem danych osobowych klientów.
Źródło
Pełna treść decyzji organu nadzorczego
Aby uniknąć podobnych naruszeń, zalecamy:
- Poprawa systemów kontroli: Wdrożenie systemu kontroli, aby zapewnić, że wszystkie kontakty promocyjne są zgodne z przepisami o ochronie danych osobowych.
- Zgoda na przetwarzanie danych: Uzyskanie wyraźnej zgody od klientów na przetwarzanie ich danych osobowych oraz na przekazywanie ich danych partnerom zewnętrznym.
- Zwiększenie bezpieczeństwa: Wzmocnienie środków bezpieczeństwa, aby zapobiec nieautoryzowanemu dostępowi do baz danych.
- Szkolenia dla pracowników: Regularnie szkolenia dla pracowników w zakresie ochrony danych osobowych i procedur bezpieczeństwa.
Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu