Obowiązek informacyjny rodo

KOMPAS FORSAFE 2024/51

Kraj:

Szwecja

Data wydania decyzji:

29.08.2024 r.

Podmiot kontrolowany:

Apohem AB

Wysokość kary (EUR):

698.000

Podstawa prawna naruszenia

Art. 32 ust. 1 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Apohem AB naruszyło przepisy dotyczące ochrony danych osobowych, nie wdrażając odpowiednich środków technicznych i organizacyjnych, aby zapewnić odpowiedni poziom bezpieczeństwa danych osobowych. Naruszenie dotyczyło użycia narzędzia analitycznego Metapixel, które przekazywało dane osobowe klientów do Meta Platforms Limited Ireland bez odpowiednich zabezpieczeń.

 

Opis wydarzeń

  1. Tło: 14 maja 2022 roku Apohem AB zgłosiło incydent dotyczący danych osobowych do szwedzkiego organu nadzorczego. Incydent polegał na przekazaniu większej ilości danych osobowych niż zamierzano do Meta Platforms Limited Ireland za pomocą Metapixel.
  2. Zakres danych: Przekazane dane obejmowały informacje kontaktowe i dane zakupowe klientów, którzy wyrazili zgodę na marketingowe pliki cookie. Nie obejmowały one jednak danych dotyczących leków na receptę.
  3. Działania szwedzkiego organu nadzorczego: 31 maja 2022 roku szwedzki organ nadzorczy rozpoczął kontrolę w Apohem, koncentrując się na ocenie, czy firma podjęła odpowiednie środki techniczne i organizacyjne zgodnie z artykułem 32 RODO.
  4. Wyniki nadzoru: Stwierdzono, że Apohem nie wdrożyło odpowiednich środków bezpieczeństwa, co skutkowało nieautoryzowanym przekazaniem danych osobowych do Meta. Przekazane dane obejmowały m.in. adresy IP, informacje o zakupach oraz dane kontaktowe klientów.
  5. Działania naprawcze: Po wykryciu incydentu Apohem natychmiast wyłączyło Metapixel i zgłosiło incydent do szwedzkiego organu nadzorczego. Firma podjęła również działania mające na celu poprawę wewnętrznych procedur i zabezpieczeń.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Wdrożenie odpowiednich środków technicznych i organizacyjnych: Zaleca się wdrożenie środków, które zapewnią odpowiedni poziom bezpieczeństwa danych osobowych, zgodnie z artykułem 32 RODO.
  2. Regularne przeglądy i aktualizacje: Należy regularnie przeglądać i aktualizować środki bezpieczeństwa, aby zapewnić ich skuteczność i zgodność z najnowszymi standardami.
  3. Szkolenia dla pracowników: Zaleca się przeprowadzanie regularnych szkoleń dla pracowników w zakresie ochrony danych osobowych i bezpieczeństwa informacji.
  4. Monitorowanie i audyt: Wprowadzenie systematycznego monitorowania i audytów procesów przetwarzania danych osobowych, aby szybko wykrywać i reagować na potencjalne naruszenia.
  5. Analiza narzędzi: Dokładne analizowanie i monitorowanie narzędzi analitycznych, takich jak Meta-pixel, aby zapewnić zgodność z przepisami dotyczącymi ochrony danych.
  6. Współpraca z dostawcami: Należy zapewnić, aby wszyscy dostawcy usług przestrzegali odpowiednich standardów ochrony danych osobowych.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO