Obowiązek informacyjny rodo

KOMPAS FORSAFE 2022/53

Kraj:

Francja

Data wydania decyzji:

13.09.2022 r.

Podmiot kontrolowany:

GIE INFOGREFFE

Wysokość kary (EUR):

250.000

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. e), art. 32 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Naruszenie dotyczyło niewłaściwego przechowywania danych osobowych użytkowników serwisu Infogreffe. Dane te były przechowywane przez okres dłuższy niż przewidziany w polityce prywatności oraz nie były odpowiednio zabezpieczone, co stanowiło naruszenie przepisów RODO.

 

Opis wydarzeń

  1. Skarga i kontrola: W grudniu 2020 roku francuski organ nadzorczy (CNIL) otrzymał skargę dotyczącą przechowywania haseł użytkowników w formie niezaszyfrowanej. W wyniku tego, w marcu 2021 roku przeprowadzono kontrolę online, która potwierdziła te zarzuty.
  2. Procedura: W trakcie kontroli stwierdzono, że Infogreffe przechowuje dane osobowe użytkowników przez okres dłuższy niż 36 miesięcy, co było sprzeczne z ich własną polityką prywatności. Ponadto, hasła użytkowników były przechowywane w formie niezaszyfrowanej i przesyłane w formie niezaszyfrowanej przez e-mail.
  3. Odpowiedź Infogreffe: Infogreffe przyznało, że dane były przechowywane dłużej niż przewidziano, ale argumentowało, że niektóre dane muszą być przechowywane dłużej ze względu na inne cele, takie jak operacje windykacyjne. Przyznano również, że proces anonimizacji danych był opóźniony.
  4. Decyzja CNIL: CNIL uznał, że Infogreffe naruszyło przepisy RODO, dotyczące przechowywania danych oraz ich zabezpieczenia.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Automatyzacja usuwania danych: Zaleca się wprowadzenie procedur automatycznego usuwania danych osobowych po upływie określonego czasu.
  2. Zabezpieczenie haseł: Hasła użytkowników powinny być przechowywane w formie zaszyfrowanej i przesyłane w sposób bezpieczny.
  3. Regularne kontrole: Zaleca się regularne kontrole i audyty procedur bezpieczeństwa danych, aby zapewnić zgodność z przepisami RODO.
  4. Edukacja i szkolenia: Pracownicy powinni być regularnie szkoleni w zakresie ochrony danych osobowych i bezpieczeństwa informacji.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO