Obowiązek informacyjny rodo

KOMPAS FORSAFE 2022/6

Kraj:

Portugalia

Data wydania decyzji:

21.12.2021 r.

Podmiot kontrolowany:

Lisbon City Council

Wysokość kary (EUR):

1.250.000

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. a), c), e), art. 6, art. 9 ust. 1 lit. a), art. 13 ust. 1, 2, art. 35 ust. 3 RODO.

Niewystarczająca podstawa prawna przetwarzania danych.

 

Przyczyna naruszenia

Naruszenie wynikało z nieprawidłowego przetwarzania danych osobowych przez Urząd Miasta Lizbony. Dane osobowe promotorów zgromadzeń, wieców, manifestacji i pochodów były przekazywane do różnych podmiotów, zarówno wewnętrznych, jak i zewnętrznych, bez odpowiedniej podstawy prawnej. Dodatkowo, Urząd nie informował promotorów o przetwarzaniu ich danych zgodnie z wymogami RODO, nie przeprowadził oceny skutków dla ochrony danych (DPIA) oraz przechowywał dane osobowe przez nieokreślony czas, co naruszało zasadę ograniczenia przechowywania danych.

 

Opis wydarzeń

  1. Przekazywanie danych osobowych: Dane osobowe promotorów były regularnie przekazywane do różnych podmiotów, w tym do Gabinetu Premiera, Gabinetu Ministra Administracji Wewnętrznej, Gabinetu Koordynatora Bezpieczeństwa, Policji Miejskiej Lizbony oraz innych służb miejskich. W niektórych przypadkach dane były również przekazywane do ambasad i konsulatów, a także do innych podmiotów zagranicznych, takich jak Rosyjska Cerkiew Prawosławna czy Ministerstwo Spraw Zagranicznych Rosji.
  2. Brak oceny skutków dla ochrony danych (DPIA): Urząd Miasta Lizbony nie przeprowadził oceny skutków dla ochrony danych, mimo że przetwarzał dane szczególnej kategorii na dużą skalę, .
  3. Niewłaściwe informowanie promotorów: Promotorzy nie byli odpowiednio informowani o przetwarzaniu ich danych osobowych. Informacje przekazywane promotorom były niekompletne i nie obejmowały wszystkich wymaganych elementów.
  4. Nieokreślony czas przechowywania danych: Dane osobowe były przechowywane przez nieokreślony czas, co naruszało zasadę ograniczenia przechowywania danych.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Przestrzeganie zasad RODO: Należy zapewnić, że przetwarzanie danych osobowych odbywa się zgodnie z zasadami RODO, w tym z zasadą legalności, rzetelności i przejrzystości.
  2. Ocena skutków dla ochrony danych (DPIA): Przeprowadzenie oceny skutków dla ochrony danych dla wszystkich operacji przetwarzania danych szczególnej kategorii na dużą skalę.
  3. Informowanie osób: Należy w pełni informowani osoby o przetwarzaniu ich danych osobowych.
  4. Ograniczenie przechowywania danych: Należy określić i przestrzegać okresów przechowywania danych osobowych, zgodnie z zasadą ograniczenia przechowywania danych.
  5. Szkolenia i procedury: Pracownicy powinni być regularnie szkoleni w zakresie ochrony danych osobowych, a procedury przetwarzania danych powinny być regularnie przeglądane i aktualizowane.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO