Obowiązek informacyjny rodo

KOMPAS FORSAFE 2023/25

Kraj:

Holandia

Data wydania decyzji:

19.01.2023 r.

Podmiot kontrolowany:

Dutch Social Insurance Institution (SVB)

Wysokość kary (EUR):

150.000

Podstawa prawna naruszenia

Art. 32 ust. 1, 2 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Naruszenie dotyczyło niewystarczających środków bezpieczeństwa przy przetwarzaniu danych osobowych przez Socialeverzekeringsbank (SVB) w kontekście telefonicznej obsługi klientów. SVB nie zapewniła odpowiedniego poziomu zabezpieczeń, co skutkowało nieautoryzowanym udostępnieniem danych osobowych.

 

Opis wydarzeń

  1. Skarga i początek dochodzenia: 1 listopada 2019 roku holenderski organ nadzorczy (AP) otrzymał skargę dotyczącą naruszenia danych osobowych przez SVB. Skarżąca twierdziła, że jej dane osobowe zostały udostępnione przez pracownika SVB bez jej zgody. Tego samego dnia SVB zgłosiła to zdarzenie jako wyciek danych do AP.
  2. Proces dochodzenia: Początkowo AP zdecydował się nie prowadzić dalszego dochodzenia, jednak po złożeniu odwołania przez skarżącą, AP rozpoczęła dochodzenie dotyczące zgodności działań SVB z RODO.
  3. Wyniki dochodzenia: Dochodzenie wykazało, że SVB nie podjęła odpowiednich technicznych i organizacyjnych środków bezpieczeństwa, co skutkowało możliwością nieautoryzowanego dostępu do danych osobowych klientów. W szczególności, wszyscy pracownicy obsługi klienta mieli dostęp do pełnych danych klientów, co zwiększało ryzyko naruszeń.
  4. Działania naprawcze: Po otrzymaniu raportu z dochodzenia, SVB podjęła szereg działań naprawczych, w tym przegląd i aktualizację procedur weryfikacji tożsamości klientów, wprowadzenie systemu rejestracji rozmów telefonicznych oraz regularne szkolenia pracowników.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Wdrożenie jednolitych procedur weryfikacji tożsamości: Opracowanie i wdrożenie jednolitych procedur weryfikacji tożsamości klientów podczas kontaktu telefonicznego, które będą jasno określały, jakie pytania kontrolne należy zadawać.
  2. Regularne szkolenia pracowników: Pracownicy powinni regularnie uczestniczyć w szkoleniach dotyczących ochrony danych osobowych i procedur bezpieczeństwa.
  3. Monitorowanie i audyt: Zaleca się regularne monitorowanie i audytowanie przestrzegania procedur bezpieczeństwa oraz weryfikacji tożsamości przez pracowników.
  4. Zwiększenie świadomości: Należy prowadzić kampanie zwiększające świadomość pracowników na temat znaczenia ochrony danych osobowych i konsekwencji ich naruszenia.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO