Obowiązek informacyjny rodo

KOMPAS FORSAFE 2022/45

Kraj:

Włochy

Data wydania decyzji:

25.11.2021 r.

Podmiot kontrolowany:

B&T S.p.A.

Wysokość kary (EUR):

40.000

Podstawa prawna naruszenia

Art. 5 ust. 1 lit a), art. 6 ust. 1 lit a), art. 12, art. 13, art. 14, art. 21 RODO.

Niewystarczająca podstawa prawna przetwarzania danych.

 

Przyczyna naruszenia

Naruszenie wynikało z nieprawidłowego przetwarzania danych osobowych przez firmę B&T S.p.A. oraz jej partnerów, w tym Aimon s.r.l. i Runwhip S.r.l. Firmy te nie zapewniły odpowiednich procedur ani kontroli nad przetwarzaniem danych, co doprowadziło do wysyłania niechcianych wiadomości SMS do użytkowników bez ich zgody.

 

Opis wydarzeń

  1. Reklamacja: Użytkownik zgłosił otrzymywanie niechcianych SMS-ów od firmy Dorelan, której właścicielem jest B&T S.p.A. Pomimo prób skontaktowania się z firmą, użytkownik nie mógł skutecznie wyegzekwować swoich praw do dostępu do danych i sprzeciwu.
  2. Interwencja: B&T S.p.A. przekazała odpowiedzialność za wysyłkę SMS-ów firmie Aimon s.r.l., która z kolei korzystała z baz danych dostarczonych przez Runwhip S.r.l. i inne podmioty. Aimon s.r.l. nie dostarczyła jednak dokumentacji potwierdzającej legalność przetwarzania danych.
  3. Dalsze naruszenia: Pomimo zgłoszenia sprzeciwu przez użytkownika, nadal otrzymywał on niechciane wiadomości SMS, co zostało uznane za błąd techniczny przez Aimon s.r.l.
  4. Skala naruszenia: Naruszenie ochrony danych osobowych trwało od 2018 r. do 2020 r. W tym czasie wysłano 2 490 000 wiadomości tekstowych w 2018 r., 1 800 000 wiadomości tekstowych w 2019 r. oraz 3 220 000 wiadomości tekstowych w 2020 r.
  5. Postępowanie: W wyniku dochodzenia stwierdzono, że B&T S.p.A. oraz Aimon s.r.l. nie zapewniły odpowiednich procedur ani kontroli nad przetwarzaniem danych, co doprowadziło do naruszenia przepisów o ochronie danych osobowych.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Wdrożenie procedur: Zaleca się wdrożenie odpowiednich procedur regulujących relacje z podmiotami przetwarzającymi dane, w tym przeprowadzanie regularnych kontroli i audytów.
  2. Informowanie użytkowników: Należy zapewnić, aby użytkownicy byli odpowiednio informowani o przetwarzaniu ich danych oraz mieli możliwość skutecznego egzekwowania swoich praw.
  3. Zarządzanie zgodami: Konieczne jest wdrożenie systemów zarządzania zgodami użytkowników, aby zapewnić, że dane są przetwarzane zgodnie z ich wolą.
  4. Szkolenia: Pracownicy powinni być regularnie szkoleni w zakresie ochrony danych osobowych i procedur związanych z przetwarzaniem danych.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO