Obowiązek informacyjny rodo

KOMPAS FORSAFE 2022/55

Kraj:

Wielka Brytania

Data wydania decyzji:

04.10.2022 r.

Podmiot kontrolowany:

Easylife Ltd.

Wysokość kary (EUR):

1.547.000

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. a), art. 6, art. 9, Art. 13 ust. 1 lit. c) RODO.

Niewystarczająca podstawa prawna przetwarzania danych.

 

Przyczyna naruszenia

Easylife Limited naruszyło przepisy o ochronie danych osobowych, przetwarzając dane osobowe w sposób niezgodny z prawem, niesprawiedliwy i nietransparentny. Firma profilowała klientów na podstawie danych transakcyjnych, aby wnioskować o ich stanach zdrowia i następnie kierować do nich telemarketing dotyczący produktów zdrowotnych.

 

Opis wydarzeń

  1. Okres naruszenia: Od 1 sierpnia 2019 roku do 19 sierpnia 2020 roku.
  2. Działania Easylife: Firma sprzedawała produkty zdrowotne poprzez telemarketing, wykorzystując dane transakcyjne klientów do wnioskowania o ich potencjalnych problemach zdrowotnych. Na przykład, zakup określonych produktów mógł sugerować, że klient cierpi na artretyzm, co prowadziło do prób sprzedaży suplementów glukozaminowych.
  3. Brak zgody: Easylife nie uzyskało wyraźnej zgody klientów na przetwarzanie danych dotyczących zdrowia, co jest wymagane przez RODO.
  4. Profilowanie: Firma profilowała 145 400 klientów, co stanowiło przetwarzanie danych osobowych szczególnej kategorii bez odpowiedniej podstawy prawnej.
  5. Reakcja ICO: Po odkryciu naruszenia, brytyjski organ nadzorczy (ICO) nakazało Easylife natychmiastowe zaprzestanie profilowania i zmiany w kampanii telemarketingowej.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Zgoda na przetwarzanie danych: Należy uzyskać wyraźną zgodę od klientów na przetwarzanie danych osobowych szczególnej kategorii, takich jak dane dotyczące zdrowia.
  2. Transparentność: Klienci powinni być jasno informowani o sposobie i celu przetwarzania ich danych osobowych.
  3. Ocena skutków dla ochrony danych (DPIA): Przeprowadzenie oceny skutków dla ochrony danych w celu identyfikacji i minimalizacji ryzyka związanego z przetwarzaniem danych osobowych.
  4. Szkolenia: Pracownicy powinni być regularnie szkoleni w zakresie ochrony danych osobowych i zgodności z RODO.
  5. Wzmocnienie umów z podmiotami przetwarzającymi dane: Umowy z podmiotami przetwarzającymi dane powinny jasno określać rodzaj przetwarzania danych i obowiązki stron.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO