Podstawa prawna naruszenia

Art. 14, art. 28 RODO.

Niedostateczne wypełnienie obowiązków informacyjnych.

Przyczyna naruszenia

Naruszenie dotyczyło niezgodnego z prawem przetwarzania danych osobowych przez firmę Monsanto Company. Firma ta, w ramach kampanii mającej na celu odnowienie zezwolenia na stosowanie pewnego produktu przez Komisję Europejską, zleciła 2 firmom zbieranie i przetwarzanie danych osobowych ponad 200 osób, w tym polityków, dziennikarzy, naukowców i działaczy społecznych. Dane te były gromadzone bez wiedzy i zgody osób, których dotyczyły.

Opis wydarzeń

1. Zbieranie danych: W latach 2016-2017 2 firmy, na zlecenie firmy Monsanto Company, stworzyły pliki zawierające dane osobowe osób zaangażowanych w debatę publiczną na temat odnawiania zezwolenia na stosowanie produktu.
2. Kontrole CNIL: W 2019 roku francuski organ nadzorczy (CNIL) przeprowadził kontrole w tych 3 firmach, aby sprawdzić zgodność przetwarzania danych z przepisami prawa.
3. Raport i sankcje: CNIL stwierdził, że firma Monsanto Company nie spełniła obowiązku informowania osób o przetwarzaniu ich danych oraz nie zawarła odpowiednich umów z podwykonawcami regulujących przetwarzanie danych.

Źródło

Pełna treść decyzji organu nadzorczego

Aby uniknąć podobnych naruszeń, zalecamy:

1. Informowanie osób: Zaleca się, aby każda firma przetwarzająca dane osobowe informowała osoby, których dane dotyczą, o celu i zakresie przetwarzania ich danych.
2. Umowy z podwykonawcami: Należy zawierać formalne umowy z podwykonawcami, które jasno określają obowiązki i prawa obu stron w zakresie przetwarzania danych osobowych.
3. Przestrzeganie przepisów: Firmy powinny regularnie monitorować i aktualizować swoje procedury przetwarzania danych, aby były zgodne z obowiązującymi przepisami prawa.

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu