Obowiązek informacyjny rodo

KOMPAS FORSAFE 2023/12

Kraj:

Włochy

Data wydania decyzji:

20.10.2022 r.

Podmiot kontrolowany:

Douglas Italia S.p.a.

Wysokość kary (EUR):

1.400.000

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. b), e), art. 5 ust. 2, art. 6, art. 7, art. 12 ust. 1, art. 13 ust. 2 lit. a), art. 24, art. 25 ust. 1 RODO.

Nieprzestrzeganie ogólnych zasad przetwarzania danych.

 

Przyczyna naruszenia

Naruszenie wynikało z nieprawidłowego przetwarzania danych osobowych przez firmę Douglas Italia S.p.A. Stwierdzono, że firma nie przestrzegała przepisów dotyczących ochrony danych osobowych, w szczególności w zakresie zbierania zgód na przetwarzanie danych, przechowywania danych oraz informowania klientów o przetwarzaniu ich danych.

 

Opis wydarzeń

  1. Skarga: W dniu 5 listopada 2020 roku wpłynęła skarga od klientki, która zgłosiła brak odpowiedzi na jej wniosek dotyczący dostępu do danych osobowych złożony 3 sierpnia 2020 roku.
  2. Pierwsze działania: Firma Douglas odpowiedziała na zapytanie włoskiego organu nadzorczego, wskazując, że przetwarzanie danych klientki opierało się na jej uczestnictwie w programie lojalnościowym. Firma przedstawiła dokumentację potwierdzającą działania podjęte w celu usunięcia danych klientki.
  3. Kontrola: W dniach 29 listopada – 1 grudnia 2021 roku oraz 14 i 16 grudnia 2021 roku przeprowadzono kontrolę w siedzibie firmy. Stwierdzono, że firma nieprawidłowo zarządzała danymi osobowymi klientów, w szczególności w zakresie zgód na przetwarzanie danych w celach marketingowych i profilowania.
  4. Zbieranie danych przez aplikację: Stwierdzono, że aplikacja Douglas zbierała zgody na przetwarzanie danych w sposób niejasny i niezgodny z przepisami.
  5. Przechowywanie danych klientów: Firma przechowywała dane klientów, którzy nie odnowili swoich kart lojalnościowych, przez zbyt długi czas, co naruszało zasady minimalizacji i ograniczenia przechowywania danych.
  6. Telemarketing: Stwierdzono, że firma prowadziła działania telemarketingowe bez odpowiednich zgód klientów.
  7. Blog firmowy: Dane osobowe zbierane przez firmowy blog były przetwarzane bez odpowiedniej informacji dla użytkowników.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Zmiana ustawień aplikacji: Zaleca się modyfikację aplikacji w celu jasnego rozdzielenia zgód na przetwarzanie danych osobowych od zgód na użycie plików cookie oraz zapewnienie, że zgody są zbierane w sposób zgodny z przepisami.
  2. Przechowywanie danych: Zaleca się wprowadzenie odpowiednich rozwiązań organizacyjnych i technicznych w celu zapewnienia, że przechowywanie danych klientów odbywa się zgodnie z zasadami minimalizacji i ograniczenia przechowywania danych.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO