Podstawa prawna naruszenia

Art. 5, art. 6, art. 30, art. 32 RODO.

Nieprzestrzeganie ogólnych zasad przetwarzania danych.

Przyczyna naruszenia

Naruszenie dotyczyło przetwarzania danych osobowych przez firmę Atac S.p.A. bez odpowiedniego określenia jej roli jako “podmiotu przetwarzającego” przez Roma Capitale, co skutkowało brakiem podstawy prawnej do przetwarzania danych.

Opis wydarzeń

1. Wstęp: W wyniku zgłoszenia do włoskiego organu nadzorczego stwierdzono, że do wydawania biletów parkingowych w Rzymie wymagane było wprowadzenie numeru rejestracyjnego pojazdu.
2. Działania dochodzeniowe: Przeprowadzono dochodzenie, w tym inspekcję we współpracy z Guardia di Finanza. Ustalono, że Atac S.p.A. przetwarzała dane bez odpowiedniego określenia jej roli jako podmiotu przetwarzającego.
3. Brak rejestru przetwarzania: Stwierdzono brak rejestru przetwarzania danych, co jest wymagane zgodnie z przepisami RODO.
4. Niewystarczające środki bezpieczeństwa: Ustalono, że niektóre przepływy danych nie były zabezpieczone, a systemy uwierzytelniania były niewystarczające. Brakowało również mechanizmów śledzenia operacji na danych osobowych.
5. Skala naruszenia: W systemie do obsługi parkometrów znajdowało się łącznie 8 600 000 rekordów.

Źródło

Pełna treść decyzji organu nadzorczego

Aby uniknąć podobnych naruszeń, zalecamy:

1. Rejestracja operacji: Zaleca się wdrożenie funkcji rejestracji operacji (logów aplikacyjnych) wykonywanych przez użytkowników systemu, aby umożliwić weryfikację działań pracowników.
2. Środki bezpieczeństwa: Należy wdrożyć odpowiednie środki bezpieczeństwa techniczne i organizacyjne, aby zapewnić odpowiedni poziom ochrony danych osobowych.
3. Okresy przechowywania danych: Zaleca się określenie okresów przechowywania danych oraz wdrożenie odpowiednich środków technicznych do ochrony przechowywanych danych.

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu