Obowiązek informacyjny rodo

KOMPAS FORSAFE 2023/19

Kraj:

Francja

Data wydania decyzji:

16.03.2023 r.

Podmiot kontrolowany:

CITYSCOOT

Wysokość kary (EUR):

125.000

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. c), art. 28 ust. 3 RODO.

Nieprzestrzeganie ogólnych zasad przetwarzania danych.

 

Przyczyna naruszenia

Główne przyczyny naruszenia przepisów przez CITYSCOOT obejmowały:

  • Nadmierne gromadzenie danych: Dane geolokalizacyjne skuterów były zbierane co 30 sekund podczas całego okresu wynajmu, co uznano za nadmierne i nieproporcjonalne do celów, dla których były zbierane.
  • Niewystarczające umowy z podwykonawcami: Umowy z niektórymi podwykonawcami nie zawierały wszystkich wymaganych przez RODO zapisów dotyczących ochrony danych.
  • Brak zgody użytkowników na pliki cookie: Mechanizm reCaptcha używany na stronie internetowej i w aplikacji mobilnej nie spełniał wymogów dotyczących uzyskiwania zgody użytkowników na zapisywanie i odczytywanie informacji z ich urządzeń.

 

Opis wydarzeń

  1. Kontrola i procedura: Kontrola przeprowadzona przez francuski organ nadzorczy (CNIL) wykazała, że firma CITYSCOOT gromadziła dane geolokalizacyjne skuterów co 30 sekund podczas całego okresu wynajmu. Dane te były przechowywane przez 12 miesięcy w bazie, a następnie przez kolejne 12 miesięcy w archiwum, zanim zostały zanonimizowane.
  2. Odpowiedzi firmy: Firma CITYSCOOT argumentowała, że zbieranie danych co 30 sekund jest konieczne do zarządzania reklamacjami, mandatami, kradzieżami i wypadkami. Jednak CNIL uznał te argumenty za niewystarczające.
  3. Umowy z podwykonawcami: Kontrola wykazała, że umowy z niektórymi podwykonawcami nie zawierały wszystkich wymaganych zapisów dotyczących ochrony danych.
  4. Mechanizm reCaptcha: Stwierdzono, że mechanizm reCaptcha używany na stronie internetowej i w aplikacji mobilnej nie spełniał wymogów dotyczących uzyskiwania zgody użytkowników na zapisywanie i odczytywanie informacji z ich urządzeń.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Poprawa umów z podwykonawcami: Umowy z podwykonawcami powinny zawierać wszystkie wymagane zapisy dotyczące ochrony danych, w tym szczegółowe obowiązki dotyczące bezpieczeństwa danych i procedury usuwania danych po zakończeniu umowy.
  2. Zgoda na pliki cookie: Należy wdrożyć mechanizmy uzyskiwania zgody użytkowników na zapisywanie i odczytywanie informacji z ich urządzeń, zgodnie z wymogami prawa.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO