Obowiązek informacyjny rodo

KOMPAS FORSAFE 2022/38

Kraj:

Węgry

Data wydania decyzji:

08.02.2022 r.

Podmiot kontrolowany:

Budapest Bank Zrt.

Wysokość kary (EUR):

634.000

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. a), b), art. 6 ust. 1, 4, art 12 ust. 1, art. 13, art. 14, art. 21 ust. 1, 2, art. 24 ust. 1, art. 25 ust. 1, 2 RODO.

Niewystarczająca podstawa prawna przetwarzania danych.

 

Przyczyna naruszenia

Naruszenie dotyczyło praktyk związanych z przetwarzaniem danych osobowych przez Budapest Bank Zrt. w kontekście nagrywania i analizowania rozmów telefonicznych prowadzonych przez telefoniczną obsługę klienta.

 

Opis wydarzeń

  1. Rozpoczęcie postępowania: Postępowanie zostało wszczęte z urzędu 22 września 2021 roku przez węgierski organ nadzorczy (NAIH) w związku z praktykami przetwarzania danych przez Budapest Bank Zrt. od 25 maja 2018 roku.
  2. Zakres naruszenia: Analiza nagrań rozmów telefonicznych obejmowała automatyczne przetwarzanie danych, w tym analizę emocji rozmówców, co naruszało zasady przejrzystości, celowości i minimalizacji danych.
  3. Skala naruszenia: Bank analizował około 1-1,5 miliona połączeń w skali roku.
  4. Brak odpowiednich środków: Stwierdzono brak odpowiednich środków technicznych i organizacyjnych zapewniających zgodność z RODO, w tym brak odpowiedniego informowania osób, których dane dotyczą, oraz brak możliwości skutecznego sprzeciwu wobec przetwarzania danych.
  5. Decyzja Urzędu: Urząd nałożył na Budapest Bank Zrt. karę administracyjną oraz zobowiązał bank do dostosowania praktyk przetwarzania danych do wymogów RODO w ciągu 60 dni od otrzymania decyzji.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Modyfikacja praktyk przetwarzania danych: Zaleca się, aby praktyki przetwarzania danych były zgodne z RODO, w szczególności aby nie analizowano emocji rozmówców oraz aby zapewniono odpowiednie prawa osób, których dane dotyczą, w tym prawo do informacji i sprzeciwu.
  2. Ograniczenie przetwarzania danych pracowników: Przetwarzanie danych pracowników powinno być ograniczone do niezbędnych celów związanych z ich zatrudnieniem, a pracownicy powinni być odpowiednio informowani o kryteriach oceny i jej konsekwencjach.
  3. Zapewnienie odpowiednich gwarancji wewnętrznych: Należy wprowadzić odpowiednie gwarancje wewnętrzne, uwzględniając zależność pracowników od pracodawcy, aby chronić ich przed nadmiernym przetwarzaniem danych.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO