Obowiązek informacyjny rodo

KOMPAS FORSAFE 2021/24

Kraj:

Hiszpania

Data wydania decyzji:

09.06.2020 r.

Podmiot kontrolowany:

Glovoapp23

Wysokość kary (EUR):

25.000

Podstawa prawna naruszenia

Art. 37 RODO.

Niewystarczające zaangażowanie inspektora ochrony danych.

 

Przyczyna naruszenia

GLOVOAPP23, S.L. nie wyznaczyło Inspektora Ochrony Danych (IOD), gdyż uznało, że nie jest do tego zobowiązane.

 

Opis wydarzeń

  1. Reklamacje: Dwie osoby złożyły skargi do hiszpańskiego organu nadzorczego (AEPD) w maju i listopadzie 2019 roku, twierdząc, że GLOVOAPP23, S.L. nie ma wyznaczonego IOD.
  2. Odpowiedź firmy: Firma odpowiedziała, że nie jest zobowiązana do wyznaczenia IOD, ale posiada zespół, który pełni funkcje IOD.
  3. Procedura sankcyjna: 13 stycznia 2020 roku AEPD rozpoczęła procedurę sankcyjną przeciwko firmie za naruszenie przepisów o ochronie danych osobowych.
  4. Stanowisko firmy: Firma argumentowała, że posiada zespół, który pełni funkcje IOD, a formalne wyznaczenie DPD nastąpiło 23 maja 2019 roku, ale oficjalnie zostało zgłoszone do AEPD dopiero w styczniu 2020 roku.
  5. Decyzja AEPD: AEPD uznała, że firma naruszyła przepisy RODO, ponieważ nie miała formalnie wyznaczonego IOD w momencie rozpoczęcia procedury sankcyjnej.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Zgodność z przepisami: Dostosowanie operacji przetwarzania danych do przepisów RODO, w tym zapewnienie odpowiedniego informowania o monitoringu wizyjnym.
  2. Komunikacja z organem nadzorczym: Aktywna współpraca z organem nadzorczym i odpowiadanie na wszelkie zawiadomienia oraz skargi.
  3. Wyznaczenie IOD: IOD powinien być powołany jeśli:
    • przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości. Przez organy i podmioty publiczne obowiązane do wyznaczenia IOD, o których mowa w art. 37 ust. 1 lit. a RODO, rozumie się jednostki sektora finansów publicznych (np. jednostki samorządu terytorialnego, uczelnie publiczne), instytuty badawcze oraz Narodowy Bank Polski (art. 9 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych),
    • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę.
    • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO oraz danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o których mowa w art. 10 RODO.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO