Obowiązek informacyjny rodo

KOMPAS FORSAFE 2021/49

Kraj:

Włochy

Data wydania decyzji:

13.07.2020 r.

Podmiot kontrolowany:

Iliad Italia S.p.A.

Wysokość kary (EUR):

800.000

Podstawa prawna naruszenia

Art. 5, art. 25 RODO.

Nieprzestrzeganie ogólnych zasad przetwarzania danych.

 

Przyczyna naruszenia

Naruszenie dotyczyło nieprawidłowego przetwarzania danych osobowych przez Iliad Italia S.p.A. Stwierdzono, że firma nie przestrzegała przepisów dotyczących ochrony danych osobowych, w szczególności w zakresie informowania klientów, uzyskiwania zgody na przetwarzanie danych oraz zabezpieczania danych osobowych.

 

Opis wydarzeń

  1. Skargi i kontrola: Od końca 2018 roku do włoskiego organu nadzorczego (Garante) wpływały skargi dotyczące różnych aspektów przetwarzania danych przez Iliad. W odpowiedzi na te skargi przeprowadzono czynności kontrolne w siedzibie firmy w maju 2019 roku.
  2. Wyniki kontroli: Czynności kontrolne wykazały liczne naruszenia, w tym:
    • Akceptacja warunków i zgoda na przetwarzanie danych: Procedura aktywacji nowych użytkowników wymagała jednoczesnej akceptacji warunków umowy i polityki prywatności, co mogło wprowadzać w błąd co do zakresu zgody na przetwarzanie danych.
    • Zgoda na cele marketingowe: Firma prosiła o zgodę na przetwarzanie danych w celach marketingowych, mimo że nie prowadziła takich działań, a system rejestracji zgód miał błędy techniczne.
    • Bezpieczeństwo Simbox: Urządzenia Simbox używane do aktywacji kart SIM nie zapewniały odpowiedniego poziomu prywatności, co mogło prowadzić do nieautoryzowanego dostępu do danych osobowych.
    • Przechowywanie danych o ruchu telefonicznym: Dane o ruchu telefonicznym były przechowywane w sposób niezgodny z przepisami, co umożliwiało dostęp do nich przez nieuprawnione osoby – pracownik obsługi klienta o profilu administratora miał dostęp do danych około 3 milionów użytkowników.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Poprawa procedur informacyjnych: Zaleca się oddzielenie akceptacji warunków umowy od zgody na przetwarzanie danych osobowych, aby zapewnić jasność i przejrzystość.
  2. Rejestracja zgód marketingowych: Należy wdrożyć system, który prawidłowo rejestruje zgody na przetwarzanie danych w celach marketingowych i zapewnia możliwość ich łatwego wycofania.
  3. Zabezpieczenie danych o ruchu telefonicznym: Należy dostosować systemy przechowywania danych do wymogów przepisów, w tym wprowadzić silne metody uwierzytelniania i fizyczne oddzielenie systemów przechowujących dane dla różnych celów.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO