Obowiązek informacyjny rodo

KOMPAS FORSAFE 2022/66

Kraj:

Portugalia

Data wydania decyzji:

02.11.2022 r.

Podmiot kontrolowany:

Portuguese National Statistical Institute

Wysokość kary (EUR):

4.300.000

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. a), art. 9 ust. 1, art. 12, art. 13, art. 28 ust. 1, 6, 7, art. 35 ust. 1, 2, 3 lit. b), art. 44, art. 46 ust. 2 RODO.

Nieprzestrzeganie ogólnych zasad przetwarzania danych.

 

Przyczyna naruszenia

Naruszenie wynikało z nieprzestrzegania przepisów RODO przez Instytut Narodowy Statystyki (INE) podczas operacji spisowej “Censos 2021”. Główne naruszenia obejmowały:

  1. brak podstawy prawnej do przetwarzania szczególnych kategorii danych osobowych,
  2. niewystarczające informowanie osób, których dane dotyczą, o przetwarzaniu ich danych,
  3. niewłaściwe zarządzanie podwykonawcami, w tym brak odpowiednich umów z Cloudflare, Inc.,
  4. przesyłanie danych osobowych do krajów trzecich bez odpowiednich zabezpieczeń,
  5. brak przeprowadzenia oceny skutków dla ochrony danych (DPIA) przed rozpoczęciem przetwarzania danych.

 

Opis wydarzeń

  1. Operacja spisowa: W ramach operacji “Censos 2021” zbierano dane osobowe od mieszkańców Portugalii, w tym dane szczególnych kategorii, takie jak informacje o zdrowiu i religii.
  2. Skargi: W okresie od 17 kwietnia do 7 maja 2021 roku do portugalskiego organu nadzorczego (CNPD) wpłynęła duża liczba skarg dotyczących legalności przetwarzania danych, bezpieczeństwa informacji oraz przesyłania danych do krajów trzecich.
  3. Kontrola CNPD: 26 kwietnia 2021 roku CNPD przeprowadziła kontrolę w siedzibie INE, podczas której stwierdzono liczne naruszenia przepisów RODO.
  4. Działania INE: INE zawarł umowę z Cloudflare, Inc., która nie spełniała wymogów RODO, co skutkowało przesyłaniem danych osobowych do USA bez odpowiednich zabezpieczeń.
  5. Reakcja CNPD: 27 kwietnia 2021 roku CNPD nakazała zawieszenie przesyłania danych do USA i innych krajów trzecich bez odpowiedniego poziomu ochrony danych.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Przestrzeganie przepisów RODO: Należy zapewnić, że wszystkie operacje przetwarzania danych osobowych są zgodne z przepisami RODO, w tym uzyskanie odpowiednich podstaw prawnych do przetwarzania danych szczególnych kategorii.
  2. Informowanie osób, których dane dotyczą: Powinno się dostarczać jasne, zrozumiałe i łatwo dostępne informacje na temat przetwarzania danych osobowych.
  3. Zarządzanie podwykonawcami: Należy zawierać umowy z podwykonawcami, które spełniają wymogi RODO, oraz przeprowadzać odpowiednią due diligence przed ich wyborem.
  4. Bezpieczeństwo danych: Konieczne jest zapewnienie, że dane osobowe nie są przesyłane do krajów trzecich bez odpowiednich zabezpieczeń.
  5. Ocena skutków dla ochrony danych: Przed rozpoczęciem przetwarzania danych osobowych należy przeprowadzać oceny skutków dla ochrony danych (DPIA) i dokumentować je zgodnie z wymogami RODO.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO