Obowiązek informacyjny rodo

KOMPAS FORSAFE 2022/65

Kraj:

Włochy

Data wydania decyzji:

06.10.2022 r.

Podmiot kontrolowany:

Alpha Exploration

Wysokość kary (EUR):

2.000.000

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. a), e), f), art. 6, art. 7, art. 12 ust. 1, art. 13, art. 14, art. 27 ust. 4, art. 28, art. 32, art. 35 RODO.

Nieprzestrzeganie ogólnych zasad przetwarzania danych.

 

Przyczyna naruszenia

Naruszenie wynikało z nieprawidłowego przetwarzania danych osobowych przez aplikację Clubhouse, zarządzaną przez Alpha Exploration Co. Inc. Firma nie dostosowała się do wymogów RODO, co obejmowało brak odpowiednich informacji dla użytkowników, niewłaściwe podstawy prawne przetwarzania danych oraz niewystarczające środki bezpieczeństwa.

 

Opis wydarzeń

  1. Wstępne działania: Procedura została zainicjowana na podstawie doniesień prasowych oraz skarg dotyczących przetwarzania danych przez Clubhouse. W lutym 2021 roku włoski organ nadzorczy (Garante) wysłał pierwsze zapytanie do Alpha Exploration, które zostało powtórzone w marcu 2021 roku.
  2. Odpowiedzi firmy: Alpha Exploration początkowo twierdziła, że nie podlega jurysdykcji europejskiej, argumentując, że aplikacja nie była skierowana do użytkowników z Unii Europejskiej. Firma później dostosowała swoją politykę prywatności, ale nadal nie spełniała wszystkich wymogów RODO.
  3. Kontrola i ustalenia: Garante stwierdził, że Clubhouse przetwarza dane użytkowników z Unii Europejskiej, co oznacza, że podlega przepisom RODO. W wyniku kontroli wykryto liczne naruszenia, w tym brak odpowiednich informacji dla użytkowników, niewłaściwe podstawy prawne przetwarzania danych, niewystarczające środki bezpieczeństwa oraz brak oceny wpływu na ochronę danych.
  4. Obrona firmy: Alpha Exploration przedstawiła swoje stanowisko, argumentując, że podjęła kroki w celu dostosowania się do RODO, ale Garante uznał te działania za niewystarczające.
  5. Skala naruszenia: W marcu 2021 r. Clubhouse posiadał ok. 16 mln użytkowników.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Szczegółowe podstawy prawne: W informacjach dla użytkowników należy precyzyjnie określić podstawy prawne dla każdej z celów przetwarzania danych.
  2. Informowanie o rejestracji: Przed wejściem do pokoju rozmów użytkownicy powinni być informowani o ewentualnej rejestracji rozmowy.
  3. Czas przechowywania danych: Należy jasno określić, które dane są przechowywane do momentu zamknięcia konta, a które podlegają innym okresom przechowywania.
  4. Lista podmiotów przetwarzających dane: W informacjach dla użytkowników należy umieścić link do listy podmiotów przetwarzających dane, która powinna być regularnie aktualizowana.
  5. Ocena wpływu na ochronę danych: Należy przeprowadzić ocenę wpływu na ochronę danych zgodnie z art. 35 RODO.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO