Obowiązek informacyjny rodo

KOMPAS FORSAFE 2024/32

Kraj:

Szwecja

Data wydania decyzji:

29.08.2024 r.

Podmiot kontrolowany:

Apoteket AB.

Wysokość kary (EUR):

3.200.000

Podstawa prawna naruszenia

Art. 32 ust. 1 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Apoteket AB naruszyło przepisy RODO, nie wdrażając odpowiednich środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego poziomu bezpieczeństwa danych osobowych. Naruszenie dotyczyło użycia narzędzia analitycznego Meta-pixel, które pozwalało na przesyłanie danych osobowych klientów do Meta Platforms Ireland Limited bez odpowiednich zabezpieczeń.

 

Opis wydarzeń

  1. Zgłoszenie incydentu: 25 kwietnia 2022 roku Apoteket AB zgłosiło do szwedzkiego organu nadzorczego (IMY) incydent związany z przetwarzaniem danych osobowych. Zgłoszenie dotyczyło użycia Meta-pixel na stronie internetowej apoteket.se, co skutkowało niezamierzonym przesyłaniem danych klientów do Meta.
  2. Przebieg kontroli: IMY rozpoczęło kontrolę w maju 2022 roku, koncentrując się na ocenie, czy Apoteket wdrożyło odpowiednie środki bezpieczeństwa zgodnie z artykułem 32 RODO. Kontrola obejmowała wymianę korespondencji z Apoteket oraz uzyskanie informacji od Meta na temat działania Meta-pixel.
  3. Ustalenia: Stwierdzono, że Apoteket nie przeprowadziło odpowiedniej oceny ryzyka przed aktywacją funkcji zaawansowanego dopasowania (AAM) w Meta-pixel, co doprowadziło do przesyłania dodatkowych danych osobowych, takich jak imiona, nazwiska, adresy e-mail, numery telefonów i inne.
  4. Skutki naruszenia: Incydent dotknął od 500 001 do 1 000 000 osób, a dane były przesyłane w formie zaszyfrowanej (hashowanej). Apoteket nie miało pełnej kontroli nad przesyłanymi danymi, co zwiększało ryzyko dla osób, których dane dotyczyły.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Wdrożenie środków technicznych i organizacyjnych: Zaleca się wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego poziomu bezpieczeństwa danych osobowych, zgodnie z artykułem 32 RODO.
  2. Regularne przeglądy i aktualizacje: Należy regularnie przeprowadzać przeglądy i aktualizacje procedur bezpieczeństwa, aby zapewnić ich zgodność z obowiązującymi przepisami i standardami.
  3. Szkolenia dla pracowników: Zaleca się przeprowadzanie regularnych szkoleń dla pracowników w zakresie ochrony danych osobowych i bezpieczeństwa informacji, aby zwiększyć świadomość i zapobiegać podobnym incydentom w przyszłości.
  4. Monitorowanie i audyt: Wprowadzenie systematycznego monitorowania i audytu procesów przetwarzania danych osobowych, aby szybko identyfikować i reagować na potencjalne zagrożenia.
  5. Analiza narzędzi: Dokładne analizowanie i monitorowanie narzędzi analitycznych, takich jak Meta-pixel, aby zapewnić zgodność z przepisami dotyczącymi ochrony danych.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO