Obowiązek informacyjny rodo

KOMPAS FORSAFE 2022/49

Kraj:

Francja

Data wydania decyzji:

04.11.2021 r.

Podmiot kontrolowany:

Régie Autonome des Transports Parisiens

Wysokość kary (EUR):

400.000

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. c), art. 5 ust. 1 lit. e), art. 5 ust. 2, art. 32 RODO.

Nieprzestrzeganie ogólnych zasad przetwarzania danych.

 

Przyczyna naruszenia

Naruszenie dotyczyło niezgodnego z przepisami przetwarzania danych osobowych pracowników w ramach procedury awansu w jednym z centrów autobusowych. W szczególności, w plikach przygotowawczych do komisji klasyfikacyjnych zawarto dane dotyczące liczby dni strajku poszczególnych pracowników, co uznano za nadmierne i nieadekwatne do celu przetwarzania.

 

Opis wydarzeń

  1. Zgłoszenie naruszenia: 13 maja 2020 roku organizacja związkowa CGT-X zgłosiła do francuskiego organu nadzorczego (CNIL) skargę dotyczącą pliku oceny pracowników, który zawierał dane osobowe uznane za niezgodne z przepisami.
  2. Powiadomienie o naruszeniu: 18 maja 2020 roku Régie Autonome des Transports Parisiens powiadomiło CNIL o naruszeniu danych osobowych, które miało miejsce od 9 kwietnia do 11 maja 2020 roku i obejmowało 16 000 osób.
  3. Kontrola CNIL: CNIL przeprowadziło kontrolę, która wykazała, że w plikach przygotowawczych do komisji klasyfikacyjnych zawarto dane dotyczące liczby dni strajku pracowników, co było sprzeczne z polityką Régie Autonome des Transports Parisiens .
  4. Dalsze działania: Régie Autonome des Transports Parisiens podjęło działania mające na celu usunięcie niezgodnych danych z plików, jednak kontrole wykazały, że naruszenie nadal miało miejsce w niektórych centrach autobusowych.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Minimalizacja danych: Zaleca się, aby w plikach przygotowawczych do komisji klasyfikacyjnych zawierać jedynie dane niezbędne do oceny pracowników, zgodnie z zasadą minimalizacji danych.
  2. Polityka przechowywania danych: Należy określić i przestrzegać odpowiednich okresów przechowywania danych osobowych, aby nie były one przechowywane dłużej niż to konieczne.
  3. Bezpieczeństwo danych: Wdrożenie ścisłej polityki uprawnień dostępu do danych, aby zapewnić, że tylko uprawnione osoby mają dostęp do danych osobowych.
  4. Szkolenia i procedury: Regularne szkolenia dla pracowników oraz wdrożenie procedur mających na celu zapewnienie zgodności z przepisami o ochronie danych osobowych.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO