Obowiązek informacyjny rodo

KOMPAS FORSAFE 2026/18

Kraj:

Francja

Data wydania decyzji:

11.12.2025 r.

Podmiot kontrolowany:

MOBIUS SOLUTIONS LTD

Wysokość kary (EUR):

1.000.000

Podstawa prawna naruszenia

Art. 28, art. 29, art. 30 RODO.

Nieprzestrzeganie ogólnych zasad przetwarzania danych.

 

Przyczyna naruszenia

Do naruszenia doszło w wyniku niewłaściwego zabezpieczenia danych przetwarzanych przez podmiot świadczący usługi marketingowe dla administratora danych. System wykorzystywany do analizy i segmentacji danych klientów nie był odpowiednio chroniony, co umożliwiło osobom nieuprawnionym dostęp do danych użytkowników. Dodatkowym problemem okazał się brak właściwej dokumentacji procesów przetwarzania oraz niewystarczająca kontrola nad sposobem, w jaki podmiot przetwarzający realizował operacje na danych powierzonych przez administratora.

Opis wydarzeń

  1. Zgłoszenie naruszenia do organu nadzorczego: W listopadzie 2022 r. francuski organ nadzorczy otrzymał zgłoszenie naruszenia danych osobowych od spółki Deezer, będącej administratorem danych użytkowników popularnej platformy streamingowej. Zgłoszenie dotyczyło potencjalnego ujawnienia danych użytkowników, które mogło obejmować bardzo dużą liczbę osób korzystających z usługi.

  2. Wstępna analiza incydentu: W trakcie analizy zgłoszenia ustalono, że źródłem problemu nie były bezpośrednio systemy administratora, lecz infrastruktura techniczna wykorzystywana przez podmiot przetwarzający dane na jego rzecz. Podmiot ten dostarczał rozwiązanie marketingowe służące do analizowania danych klientów i prowadzenia działań marketingowych.

  3. Charakter współpracy z podmiotem przetwarzającym: W ramach świadczonych usług podmiot przetwarzający otrzymywał dane użytkowników platformy w celu ich przetwarzania na potrzeby kampanii marketingowych. Dane te były następnie analizowane, przekształcane do wewnętrznych formatów oraz wykorzystywane do tworzenia segmentów marketingowych pozwalających na kierowanie spersonalizowanych komunikatów do użytkowników.

  4. Zakres przetwarzanych danych: Przetwarzanie obejmowało dane identyfikacyjne użytkowników oraz dane dotyczące korzystania z usług platformy. Dane te były wykorzystywane do profilowania marketingowego i optymalizacji działań promocyjnych administratora.

  5. Wykrycie podatności w systemie podmiotu przetwarzającego: W toku analizy ustalono, że systemy wykorzystywane przez podmiot przetwarzający nie były odpowiednio zabezpieczone. W praktyce oznaczało to możliwość uzyskania dostępu do danych przez osoby nieuprawnione, co doprowadziło do ich ujawnienia.

  6. Postępowanie kontrolne: Po otrzymaniu zgłoszenia francuski organ nadzorczy wszczął postępowanie wyjaśniające. W jego ramach skierowano do spółki szczegółowe pytania dotyczące organizacji procesów przetwarzania danych, stosowanych zabezpieczeń technicznych oraz sposobu dokumentowania operacji przetwarzania.

  7. Stwierdzone nieprawidłowości: Analiza przeprowadzona przez francuski organ nadzorczy wykazała, że podmiot przetwarzający nie prowadził prawidłowego rejestru wszystkich kategorii czynności przetwarzania. Nie był róqniwż w stanie wykazać w sposób jednoznaczny zakresu i charakteru operacji wykonywanych na danych powierzonych przez administratora. W ocenie organu oznaczało to brak spełnienia podstawowych wymogów RODO dotyczących przejrzystości i rozliczalności przetwarzania danych.

  8. Decyzja organu nadzorczego: W rezultacie francuski organ nadzorczy uznał, że podmiot przetwarzający naruszył przepisy RODO i ponosi bezpośrednią odpowiedzialność za nieprawidłowości w zakresie bezpieczeństwa i dokumentowania przetwarzania danych. W konsekwencji organ nadzorczy nałożył administracyjną karę pieniężną w wysokości 1 miliona EUR.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Regularne audyty u podmiotów przetwarzających: Administrator danych powinien przed powierzeniem danych przeprowadzić ocenę zdolności dostawcy do zapewnienia odpowiednich środków bezpieczeństwa. Obejmuje to weryfikację architektury systemów, procedur zarządzania dostępem, mechanizmów monitorowania oraz sposobu reagowania na incydenty. W praktyce oznacza to konieczność przeprowadzania audytów bezpieczeństwa zarówno przed rozpoczęciem współpracy, jak i w jej trakcie.

  2. Precyzyjne określenie zasad przetwarzania w umowie powierzenia: Umowa powierzenia przetwarzania danych powinna w sposób jednoznaczny określać zakres operacji wykonywanych przez podmiot przetwarzający. Należy wskazać cele przetwarzania, rodzaje danych, kategorie osób, których dane dotyczą, oraz dopuszczalne działania na danych. Takie podejście ogranicza ryzyko niekontrolowanego przetwarzania danych oraz ułatwia wykazanie zgodności z zasadą rozliczalności.

  3. Prowadzenie aktualnej dokumentacji przetwarzania danych: Podmioty przetwarzające są zobowiązane do prowadzenia rejestru wszystkich kategorii czynności przetwarzania. Dokumentacja ta powinna być aktualna i umożliwiać szybkie ustalenie, jakie operacje są wykonywane na danych oraz jakie środki bezpieczeństwa są stosowane. Brak takiej dokumentacji utrudnia zarządzanie bezpieczeństwem danych oraz może prowadzić do naruszenia przepisów o ochronie danych osobowych.

  4. Ograniczanie dostępu do danych zgodnie z zasadą minimalnych uprawnień: Dostęp do danych osobowych powinien być przyznawany wyłącznie osobom, które potrzebują go do wykonywania swoich obowiązków. Konieczne jest stosowanie mechanizmów uwierzytelniania oraz systemów zarządzania tożsamością i dostępem, które umożliwiają kontrolowanie i monitorowanie działań użytkowników.

  5. Monitorowanie działań podwykonawców: Administrator danych powinien posiadać narzędzia pozwalające na bieżące monitorowanie sposobu realizacji usług przez podmiot przetwarzający. Może to obejmować raportowanie incydentów bezpieczeństwa, okresowe przeglądy procedur bezpieczeństwa oraz możliwość przeprowadzania audytów zgodności.

  6. Wdrożenie skutecznych procedur reagowania na incydenty: Organizacje powinny posiadać jasno określone procedury pozwalające na szybkie wykrycie naruszeń ochrony danych osobowych oraz ich właściwe zgłoszenie do organu nadzorczego. Procedury te powinny obejmować analizę przyczyn incydentu, ocenę ryzyka dla osób, których dane dotyczą, oraz wdrożenie działań naprawczych ograniczających skutki naruszenia.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. Traktorowej 170. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO