Obowiązek informacyjny rodo

KOMPAS FORSAFE 2026/6

Kraj:

Francja

Data wydania decyzji:

30.12.2025 r.

Podmiot kontrolowany:

Firma X

Wysokość kary (EUR):

3.500.000

Podstawa prawna naruszenia

Art. 6 ust. 1 lit. a), art. 13, art. 32, art. 35 RODO.

Nieprzestrzeganie ogólnych zasad przetwarzania danych.

 

Przyczyna naruszenia

Przyczyną naruszenia było przetwarzanie danych klientów w ramach programu lojalnościowego i reklamy w mediach społecznościowych bez ważnej, jednoznacznej zgody oraz przy niepełnej informacji o celach i odbiorcach danych, a także przy zbyt słabych zabezpieczeniach kont użytkowników.

 

Opis wydarzeń

  1. Wszczęcie kontroli przez organ nadzorczy: Francuski organ nadzorczy przeprowadził kontrolę zgodności przetwarzania danych osobowych w spółce prowadzącej platformę internetową z kontami użytkowników oraz programem lojalnościowym. Kontrola dotyczyła w szczególności działań marketingowych oraz bezpieczeństwa danych.
  2. Zakres przetwarzanych danych: Spółka przetwarzała dane identyfikacyjne i kontaktowe klientów (m.in. adres e-mail, numer telefonu, dane konta użytkownika), wykorzystywane zarówno do obsługi programu lojalnościowego, jak i do działań marketingowych.

  3. Przekazywanie danych do partnera reklamowego: Dane klientów były regularnie przekazywane do podmiotu zewnętrznego w celu realizacji kampanii reklamowych w mediach społecznościowych, w tym do targetowania reklam na podstawie posiadanych profili użytkowników.

  4. Brak legalnej podstawy przetwarzania: Francuski organ nadzorczy ustalił, że spółka nie uzyskała ważnej zgody na przekazywanie danych do celów reklamowych. Zgoda nie była wystarczająco konkretna, jednoznaczna ani oddzielona od innych celów przetwarzania (np. założenia konta).

  5. Naruszenie obowiązku informacyjnego: Informacje przekazywane użytkownikom były niepełne i nieprecyzyjne, gdyż brakowało jasnego wskazania: celów marketingowych, podstaw prawnych przetwarzania, odbiorców danych osobowych, zasad przekazywania danych podmiotom trzecim.
  6. Niewystarczające środki bezpieczeństwa: Francuski organ nadzorczy stwierdził, że stosowana polityka haseł umożliwiała tworzenie zbyt słabych haseł, co nie zapewniało odpowiedniego poziomu ochrony danych osobowych przechowywanych na kontach użytkowników.
  7. Działania korygujące spółki: W toku postępowania spółka wdrożyła częściowe zmiany (m.in. aktualizacja polityki prywatności), jednak zostały one uznane za niewystarczające do wyeliminowania naruszeń.
  8. Nałożenie kary administracyjnej: W wyniku stwierdzonych naruszeń francuski organ nadzorczy nałożył na spółkę administracyjną karę pieniężną, uznając, że naruszenia miały charakter istotny i dotyczyły podstawowych zasad przetwarzania danych osobowych, w szczególności legalności, przejrzystości oraz bezpieczeństwa.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Zapewnienie prawidłowej podstawy prawnej przetwarzania: Każde przetwarzanie danych w celach marketingowych oraz każde przekazanie danych partnerom zewnętrznym powinno opierać się na odrębnej, wyraźnej i dobrowolnej zgodzie, spełniającej wymagania art. 7 RODO.

  2. Rozdzielenie celów przetwarzania: Zgoda na marketing nie powinna być łączona z rejestracją konta, udziałem w programie lojalnościowym ani realizacją umowy.

  3. Pełna i przejrzysta informacja dla użytkowników: Już na etapie zbierania danych należy jasno wskazać: cele przetwarzania, podstawy prawne, odbiorców danych, okres przechowywania, oraz prawa osób, których dane dotyczą.

  4. Wzmocnienie bezpieczeństwa danych osobowych: Należy wdrożyć silne polityki haseł (minimalna długość, złożoność, ochrona przed ponownym użyciem) oraz tam, gdzie to uzasadnione dodatkowe mechanizmy uwierzytelniania.

  5. Ocena ryzyka i DPIA: Dla działań obejmujących profilowanie lub reklamę behawioralną rekomendowane jest przeprowadzenie oceny skutków dla ochrony danych (DPIA).

  6. Stały nadzór i audyty zgodności: Przetwarzanie danych w marketingu i IT powinno podlegać regularnym audytom wewnętrznym oraz nadzorowi inspektora ochrony danych.

  1. Edukacja i szkolenia: Obligatoryjne powinny być szkolenia dla zespołów marketingu, IT i compliance w zakresie RODO, zasad zgody i obowiązków informacyjnych.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. Traktorowej 170. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO