Obowiązek informacyjny rodo

KOMPAS FORSAFE 2021/39

Kraj:

Włochy

Data wydania decyzji:

13.05.2021 r.

Podmiot kontrolowany:

Iren Mercato S.p.A.

Wysokość kary (EUR):

2.856.169

Podstawa prawna naruszenia

Art. 5 ust. 1, 2, art. 6 ust. 1, art. 7 ust. 1 RODO.

Niewystarczająca podstawa prawna przetwarzania danych.

 

Przyczyna naruszenia

Naruszenie dotyczyło nielegalnego przetwarzania danych osobowych przez Iren Mercato S.p.A. Firma nabyła listy danych osobowych od Nethex Digital Marketing S.r.l., która z kolei uzyskała je od Walldata Group LLC i Click ADV S.r.l. Problem polegał na tym, że dane te były przekazywane bez odpowiedniej zgody osób, których dane dotyczyły, na ich dalsze udostępnianie innym podmiotom.

 

Opis wydarzeń

  1. Skargi i dochodzenie: Do włoskiego organu nadzorczego (Garante) wpłynęły liczne skargi dotyczące nieautoryzowanego przetwarzania danych osobowych przez Iren Mercato S.p.A. Skargi dotyczyły głównie działań marketingowych prowadzonych bez zgody osób, których dane dotyczyły.
  2. Żądanie informacji: W odpowiedzi na skargi, Garante zażądało od Iren Mercato wyjaśnień i dokumentacji dotyczącej przetwarzania danych osobowych.
  3. Odpowiedź Iren Mercato: Firma wyjaśniła, że dane osobowe były nabywane od Nethex, która uzyskała je od Walldata i Click ADV. Iren Mercato twierdziła, że posiadała zgody na przetwarzanie danych, jednak dokumentacja dostarczona przez firmę była niekompletna i niejasna.
  4. Analiza Garante: Garante stwierdziło, że zgody na przetwarzanie danych były niewystarczające, a przekazywanie danych między różnymi podmiotami odbywało się bez odpowiedniej zgody osób, których dane dotyczyły. Wykazano również brak odpowiednich mechanizmów kontroli i monitoringu przetwarzania danych przez Iren Mercato.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Kupowanie bazy marketingowej od dostawców z udokumentowaną zgodą:
    • Należy upewnić się, że dostawcy baz danych posiadają udokumentowaną zgodę na realizowanie działań marketingowych przez podmioty trzecie.
    • Weryfikacja dokumentacji dostawców w celu potwierdzenia, że zgody są zgodne z obowiązującymi przepisami.
  2. Weryfikacja baz marketingowych pod kątem zgód:
    • Regularne sprawdzanie baz marketingowych, aby upewnić się, że zawierają one udokumentowane zgody na działania marketingowe.
    • Realizowanie działań marketingowych tylko wobec osób, które wyraziły na to zgodę, aby uniknąć naruszeń przepisów.
  3. Wdrożenie procedur pracy na danych osobowych przez podmioty zewnętrzne:
    • Opracowanie i wdrożenie procedur określających zasady pracy na danych osobowych przez podmioty zewnętrzne działające w imieniu firmy.
    • Upewnienie się, że podmioty te są świadome swoich obowiązków i przestrzegają przepisów o ochronie danych osobowych.
  4. Wdrożenie procedury realizacji praw podmiotów danych:
    • Stworzenie procedur umożliwiających realizację praw podmiotów danych, takich jak prawo do dostępu, poprawiania, usuwania danych itp.
    • Zapewnienie, że procedury te są łatwo dostępne i zrozumiałe dla osób, których dane dotyczą.
  5. Wdrożenie środków technicznych i organizacyjnych dotyczących obsługi wniosków:
    • Wprowadzenie odpowiednich środków technicznych i organizacyjnych, które umożliwią sprawną obsługę wniosków o skorzystanie z praw podmiotów danych.
    • Regularne przeglądanie i aktualizowanie tych środków, aby były zgodne z najnowszymi przepisami i najlepszymi praktykami.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO