Obowiązek informacyjny rodo

KOMPAS FORSAFE 2021/40

Kraj:

Włochy

Data wydania decyzji:

10.06.2021 r.

Podmiot kontrolowany:

Foodinho s.r.l.

Wysokość kary (EUR):

2.600.000

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. a), c), e), art. 13, art. 22 ust. 3, art. 25, art. 30 ust. 1 lit. a), b), c), f), g), art. 32, art. 35, art. 37 ust. 7 RODO.

Nieprzestrzeganie ogólnych zasad przetwarzania danych.

 

Przyczyna naruszenia

Naruszenie wynikało z nieprzestrzegania przepisów dotyczących ochrony danych osobowych przez firmę Foodinho s.r.l. W szczególności, Spółka nie spełniła wymogów dotyczących przejrzystości, minimalizacji danych, ograniczenia przechowywania oraz bezpieczeństwa przetwarzania danych osobowych kierowców dostarczających zamówione jedzenie.

 

Opis wydarzeń

  1. Kontrola: W dniach 16 i 17 lipca 2019 roku włoski organ nadzorczy przeprowadził kontrolę w siedzibie Foodinho s.r.l. Czynności kontrolne obejmowały przetwarzanie danych osobowych kierowców.
  2. Stwierdzone nieprawidłowości:
    • brak przejrzystej informacji dla kierowców na temat przetwarzania ich danych, w tym danych geolokalizacyjnych oraz komunikacji z call center,
    • nieprzestrzeganie zasad minimalizacji przetwarzania danych i ograniczenia przechowywania danych – dane były przechowywane przez okres dłuższy niż to konieczne, bez wyraźnego uzasadnienia,
    • brak odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych,
    • brak przeprowadzenia oceny skutków dla ochrony danych (DPIA) mimo wysokiego ryzyka związanego z przetwarzaniem danych osobowych,
    • niewłaściwe zarządzanie dostępem do danych, co umożliwiało dostęp do danych pracowników z różnych krajów bez odpowiednich ograniczeń,
    • brak zgłoszenia inspektora ochrony danych (IOD) do włoskiego organu nadzorczego.
  3. Skala naruszenia: Naruszenie ochrony danych osobowych dotyczyło łącznie około 18 684 kierowców.

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Poprawa informacyjna: Dostosowanie dokumentów informacyjnych, takich jak polityka prywatności, aby były zgodne z przepisami i zawierały wszystkie wymagane informacje dotyczące przetwarzania danych osobowych.
  2. Minimalizacja danych: Ograniczenie przetwarzania danych do niezbędnego minimum oraz określenie i przestrzeganie odpowiednich okresów przechowywania danych.
  3. Środki bezpieczeństwa: Wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych osobowych.
  4. Ocena skutków dla ochrony danych: Przeprowadzenie oceny skutków dla ochrony danych (DPIA) w celu identyfikacji i minimalizacji ryzyka związanego z przetwarzaniem danych osobowych.
  5. Zarządzanie dostępem: Wprowadzenie mechanizmów ograniczających dostęp do danych osobowych tylko do uprawnionych osób oraz zapewnienie, że dostęp jest ograniczony do danych niezbędnych do wykonywania obowiązków służbowych.
  6. Wyznaczenie IOD: IOD powinien być powołany jeśli:
    • przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości. Przez organy i podmioty publiczne obowiązane do wyznaczenia IOD, o których mowa w art. 37 ust. 1 lit. a RODO, rozumie się jednostki sektora finansów publicznych (np. jednostki samorządu terytorialnego, uczelnie publiczne), instytuty badawcze oraz Narodowy Bank Polski (art. 9 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych),
    • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę.
    • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO oraz danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o których mowa w art. 10 RODO.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO