Obowiązek informacyjny rodo

KOMPAS FORSAFE 2025/15

Kraj:

Norwegia

Data wydania decyzji:

10.03.2025 r.

Podmiot kontrolowany:

Telenor ASA.

Wysokość kary (EUR):

338.000

Podstawa prawna naruszenia

Art. 24 ust. 1, 2, art. 37 ust. 7, art. 38 ust. 2, 3 RODO.

Nieprzestrzeganie ogólnych zasad przetwarzania danych.

 

Przyczyna naruszenia

Naruszenie wynikało z braku odpowiednich i udokumentowanych działań po stronie Telenor ASA w zakresie organizacji funkcji personelu odpowiedzialnego za ochronę danych osobowych. W szczególności nie przeprowadzono i nie udokumentowano analizy, czy spółka jest zobowiązana do wyznaczenia inspektora ochrony danych (IOD), nie zapewniono właściwej linii raportowania IOD do najwyższego kierownictwa przez znaczną część okresu objętego kontrolą oraz nie wdrożono odpowiednich środków organizacyjnych i procedur zapewniających zgodność z RODO w zakresie prowadzenia i aktualizacji rejestru czynności przetwarzania oraz wsparcia dla IOD.

 

Opis wydarzeń

  1. Wszczęcie kontroli: W 2021 roku norweski organ ochrony danych rozpoczął kontrolę w Telenor ASA po otrzymaniu anonimowych zgłoszeń dotyczących możliwych nieprawidłowości w zakresie ochrony danych osobowych.
  2. Zakres i przebieg kontroli: Kontrola objęła okres od października 2020 do stycznia 2022 i dotyczyła zgodności z przepisami o ochronie danych osobowych, w szczególności obowiązków związanych z funkcją IOD oraz wdrożenia odpowiednich środków organizacyjnych i prowadzenia rejestru czynności przetwarzania.
  3. Miejsce IOD w organizacji: W toku postępowania ustalono, że Telenor ASA nie posiadał udokumentowanej analizy konieczności powołania IOD, nie zapewnił właściwej, bezpośredniej linii raportowania IOD do najwyższego kierownictwa przez około rok oraz nie wdrożył odpowiednich procedur i środków organizacyjnych.
  4. Rejestr czynności przetwarzania: Stwierdzono również, że rejestr czynności przetwarzania był niekompletny i nieaktualny.
  5. Wsparcie dla IOD: Ponadto IOD nie miał zapewnionych odpowiednich zasobów do wykonywania swoich obowiązków, a wsparcie ze strony organizacji było niewystarczające.
  6. Odwołanie IOD: Po otrzymaniu zawiadomienia o zamiarze wydania decyzji, Telenor ASA poinformował o odwołaniu IOD, uzasadniając to brakiem obowiązku jego powołania, jednak nie przedstawił szczegółowej analizy tej decyzji.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Dokumentowanie obowiązku powołania IOD: Zalecane jest sporządzenie i udokumentowanie wewnętrznej analizy, czy podmiot jest zobowiązany do wyznaczenia inspektora ochrony danych, uwzględniając wszystkie prowadzone czynności przetwarzania oraz role podmiotu.
  2. Aktualizacja rejestru czynności przetwarzania: Rekomendowane jest aktualizowanie i prowadzenie rejestru czynności przetwarzania zgodnie z art. 30 RODO, tak aby zawsze odzwierciedlał aktualny stan faktyczny.
  3. Formalizacja roli i wsparcia dla IOD: jeśli zachodzi przesłanka do wyznaczenia IOD, warto wdrożyć odpowiednie środki organizacyjne i jasne procedury dotyczące jego funkcjonowania, w tym precyzyjnie określić linię raportowania do najwyższego kierownictwa, zakres zadań i sposób ich realizacji. Należy również zapewnić IOD odpowiednie zasoby (czas, wsparcie, budżet, dostęp do informacji), które skuteczne umożliwią wykonywanie zadań zgodnie z art. 38 RODO.
  4. Dostępność i transparentność kontaktu z IOD: Zalecane jest udostępnienie danych kontaktowych IOD, aby każda osoba, której dane dotyczą, mogła łatwo się z nim skontaktować.
  5. Aktualizacja dokumentacji: Rekomendowane jest regularne przeglądanie i aktualizowanie polityk oraz rejestrów wymaganych przez przepisy o ochronie danych osobowych.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO