Podstawa prawna naruszenia
Art. 13, art. 25 RODO.
Niedostateczne wypełnienie obowiązków informacyjnych.
Przyczyna naruszenia
- Brak wdrożenia zasady ochrony danych w fazie projektowania: EDP Energía, S.A.U nie zastosowała odpowiednich środków technicznych i organizacyjnych w procesach zawierania umów.
- Niewłaściwe zbieranie zgody na przetwarzanie danych: Zgoda na przetwarzanie danych nie była zbierana w sposób właściwy.
- Niewystarczająca informacja dla użytkowników: Użytkownicy nie byli odpowiednio informowani o zautomatyzowanym podejmowaniu decyzji i profilowaniu.
Opis wydarzeń
- Wszczęcie postępowania: Hiszpański organ nadzorczy (AEPD) rozpoczął postępowanie sankcyjne przeciwko EDP Energía, S.A.U za naruszenia przepisów RODO.
- Obrona firmy: Firma przedstawiła swoją obronę, podkreślając podjęte działania naprawcze, takie jak wyeliminowanie możliwości zbierania zgody na cele marketingowe podczas procesu zawierania umów oraz wdrożenie nowej procedury weryfikacji reprezentacji.
- Nałożenie kar: AEPD zdecydowała się ukarać firmę za naruszenie zasady ochrony danych w fazie projektowania oraz za naruszenie zasady przejrzystości.
Źródło
Pełna treść decyzji organu nadzorczego
Aby uniknąć podobnych naruszeń, zalecamy:
- Wdrożenie odpowiednich środków technicznych i organizacyjnych: Zapewnienie, że wszystkie procesy przetwarzania danych są zgodne z przepisami RODO.
- Poprawa procedur zbierania zgody: Zgoda na przetwarzanie danych powinna być zbierana w sposób jasny, jednoznaczny i świadomy.
- Zwiększenie przejrzystości: Użytkownicy powinni być w pełni informowani o zautomatyzowanym podejmowaniu decyzji i profilowaniu.
Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu