Obowiązek informacyjny rodo

KOMPAS FORSAFE 2021/26

Kraj:

Holandia

Data wydania decyzji:

11.03.2021 r.

Podmiot kontrolowany:

Municipality of Enschede

Wysokość kary (EUR):

600.000

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. a), art. 6 ust. 1 RODO.

Niewystarczająca podstawa prawna przetwarzania danych.

 

Przyczyna naruszenia

Holenderski organ nadzorczy (AP) uznał, że gmina Enschede nielegalnie przetwarzała dane osobowe właścicieli/użytkowników urządzeń mobilnych z włączoną funkcją Wi-Fi w centrum miasta Enschede. Gmina przetwarzała te dane bez podstawy prawnej.

 

Opis wydarzeń

  1. Wprowadzenie i kontekst:
    • W lipcu 2018 roku AP otrzymała skargę dotyczącą zbierania danych przez czujniki Wi-Fi w centrum Enschede. Czujniki te zbierały dane z urządzeń mobilnych z włączoną funkcją Wi-Fi bez odpowiedniej podstawy prawnej.
    • AP rozpoczęła dochodzenie, podczas którego otrzymała dodatkowe skargi.
  2. Proces dochodzenia:
    • AP zebrała informacje od gminy Enschede oraz firm zaangażowanych w projekt.
    • Przeprowadzono inspekcje w sklepach, gdzie zainstalowano czujniki, oraz w biurze Retail Management Center B.V. w Amsterdamie.
  3. Ustalenia AP:
    1. Czujniki zbierały dane takie jak adresy MAC, siła sygnału, data i czas, które były następnie przesyłane na serwer.
    2. Dane były pseudonimizowane, ale metoda ta nie zapewniała pełnej anonimowości, co umożliwiało identyfikację osób na podstawie wzorców zachowań.
    3. Gmina Enschede od 25 maja 2018 r. do 30 kwietnia 2020 r. pozyskała dane około 1,8 miliona unikalnych urządzeń mobilnych.
    4. Gmina Enschede nie miała odpowiedniej podstawy prawnej do przetwarzania tych danych, co stanowiło naruszenie RODO.
  4. Reakcja gminy Enschede:
    • Gmina argumentowała, że dane były anonimowe i nie można było zidentyfikować osób. Jednak AP uznała, że pseudonimizacja była niewystarczająca.
    • Gmina Enschede wprowadziła zmiany w systemie, ale AP uznała, że nadal nie spełniają one wymogów RODO.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Poprawa procedur: Wdrożenie odpowiednich procedur i mechanizmów zapewniające zgodność z RODO, w tym pełną anonimowość danych.
  2. Edukacja i szkolenia: Przeprowadzenie szkolenia z zakresu ochrony danych osobowych, aby uniknąć podobnych naruszeń w przyszłości.
  3. Przegląd i audyt: Regularne audyty i przeglądy procedur przetwarzania danych osobowych w celu zapewnienia ciągłej zgodności z przepisami.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO