Obowiązek informacyjny rodo

Niedostateczne wypełnienie obowiązków informacyjnych

Niedostateczne wypełnienie obowiązków informacyjnych

Naruszenie to dotyczy najczęściej art.13 i 14 RODO.

Przejrzyj kary nałożone w krajach Unii Europejskiej oraz w Polsce za to naruszenie

DataKrajOrgan nadzorczy wydający decyzjęPodmiot kontrolowanyKaraKompas
26.03.2019PolskaPrezes Urzędu Ochrony Danych OsobowychBisnode Polska Sp. z o.o.207.200 EUR - sąd anulował karę
z powodu błędów proceduralnych
Zobacz KOMPAS
11.12.2020HiszpaniaSpanish Data Protection Authority (AEPD)Banco Bilbao Vizcaya Argentaria, S.A.5.000.000 EURZobacz KOMPAS
04.05.2021HiszpaniaSpanish Data Protection Authority (AEPD)EDP Comercializadora, S.A.U.1.500.000 EURZobacz KOMPAS
04.05.2021HiszpaniaSpanish Data Protection Authority (AEPD)EDP Energía, S.A.U1.500.000 EURZobacz KOMPAS
02.09.2021IrlandiaData Protection Authority of IrelandWhatsApp Ireland Ltd.225.000.000 EURZobacz KOMPAS
09.04.2021HolandiaDutch Supervisory Authority for Data Protection (AP)TikTok Inc.750.000 EURZobacz KOMPAS

Jak zapobiegać takim naruszeniom?

1. Realizuj zasadę przejrzystości przetwarzania danych osobowych poprzez:

  • wykonanie obowiązku informacyjnego,
  • informowanie osób, których dane dotyczą, o ich prawach,
  • informowanie osób, których dane dotyczą, o naruszeniu ochrony danych.

2. Informacje lub komunikaty opracuj tak, aby treści:

  • miały zwięzłą formę (osoba nie może być przytłoczona informacjami),
  • miały przejrzystą formę (informacje należy odróżnić od innych informacji niezwiązanych z prywatnością),
  • miały zrozumiałą formę (informacje powinny być możliwe do zrozumienia przez przeciętnego przedstawiciela grupy docelowych odbiorców),
  • miały łatwo dostępną formę (osoba nie powinna być zmuszona do wyszukiwania informacji – miejsce i sposób dostępu do informacji powinien być oczywisty),
  • były napisane jasnym i prostym językiem (informacji udzielaj w możliwie najprostszy sposób, bez stosowania złożonych struktur zdaniowych i językowych; informacji udzielaj w sposób konkretny i jednoznaczny pamiętając o wskazaniu celu i podstawy prawnej przetwarzania danych osobowych; unikaj wyrazów takich, jak: „może”, „niektóre”, „często”, „możliwe”),
  • były przekazane na piśmie lub w formie elektronicznej oraz ustnie – na żądanie osoby, której dane dotyczą.

3. Realizację zasady przejrzystości możesz oprzeć o warstwowe podejście do udzielania informacji osobie, której dane dotyczą. Pamiętaj, aby w pierwszej warstwie uwzględnić informacje na temat celów przetwarzania, tożsamości administratora i opisu praw osoby, której dane dotyczą a także informacje na temat najważniejszych skutków przetwarzania danych osobowych.

4. W przypadku, gdy jako Administrator zwracasz się do osób, których dane dotyczą, posługujących się innym językiem, musisz dostarczyć tłumaczenie na te języki.

5. Pozyskując dane osobowe ze źródeł publicznie dostępnych, w tym z rejestrów publicznych (m.in. Rejestru Przedsiębiorców Krajowego Rejestru Sądowego, Centralnej Ewidencji i Informacji o Działalności Gospodarczej, Bazy REGON Głównego Urzędu Statystycznego) jesteś zobowiązany do spełnienia obowiązku informacyjnego wobec:

  • osób fizycznych prowadzących działalność gospodarczą,
  • osób będących wspólnikami lub członkami organów spółek,
  • osób będących wspólnikami lub członkami organów fundacji,
  • osób będących wspólnikami lub członkami organów stowarzyszeń.

6. Opracuj politykę prywatności, która w sposób jasny i precyzyjny będzie informowała osoby, których dane dotyczą, o przetwarzaniu ich danych osobowych. Staraj się używać prostego języka, unikać zdań i skomplikowanych struktur językowych. Istotne jest również to, aby cele i podstawa prawna przetwarzania danych osobowych były łatwe do zrozumienia.

WRÓĆ DO KOMPASU FORSAFE