Obowiązek informacyjny rodo

Niewystarczająca podstawa prawna do przetwarzania danych

Niewystarczająca podstawa prawna do przetwarzania danych

Naruszenie to dotyczy najczęściej art. 5 i 6 RODO

Przejrzyj kary nałożone w krajach Unii Europejskiej oraz w Polsce za to naruszenie

DataKrajOrgan nadzorczy wydający decyzjęPodmiot kontrolowanyKaraKompas
21.01.2019FrancjaFrench Data Protection Authority (CNIL)Google Inc.50.000.000 EURZobacz KOMPAS
25.04.2019PolskaPrezes Urzędu Ochrony Danych OsobowychDolnośląski Związek Piłki Nożnej12.244 EURZobacz KOMPAS
23.10.2019AustriaAustrian Data Protection Authority (dsb)Austrian Post18.000.000 EURZobacz KOMPAS
11.12.2019WłochyItalian Data Protection Authority (Garante)Eni Gas e Luce11.500.000 EURZobacz KOMPAS
15.01.2020WłochyItalian Data Protection Authority (Garante)TIM (telecommunications operator)27.800.000 EURZobacz KOMPAS
04.03.2020PolskaPrezes Urzędu Ochrony Danych OsobowychSzkoła Podstawowa nr 2 w Gdańsku4.392,30 EUR
Kara anulowana przez NSA z powodu zakwestionowania naruszenia
zasady minimalizacji danych
Zobacz KOMPAS 1
Zobacz KOMPAS 2
13.07.2020WłochyItalian Data Protection Authority (Garante)Wind Tre S.p.A.16.700.000 EURZobacz KOMPAS
30.06.2020 PolskaPrezes Urzędu Ochrony Danych OsobowychZespół Szkół Ogólnokształcących w D.UpomnienieZobacz KOMPAS
24.08.2020PolskaPrezes Urzędu Ochrony Danych OsobowychGłówny Geodeta Kraju22.000 EURZobacz KOMPAS 1
Zobacz KOMPAS 2
01.10.2020NiemcyData Protection Authority of HamburgH&M Hennes & Mauritz Online Shop A.B. & Co. KG35.258.708 EURZobacz KOMPAS
08.01.2021NiemcyData Protection Authority of Niedersachsennotebooksbilliger.de10.400.000 EURZobacz KOMPAS
13.01.2021HiszpaniaSpanish Data Protection Authority (AEPD)Caixabank S.A.6.000.000 EURZobacz KOMPAS
11.03.2021HolandiaDutch Supervisory Authority for Data Protection (AP)Municipality of Enschede600.000 EURZobacz KOMPAS
24.04.2021HiszpaniaSpanish Data Protection Authority (AEPD)Equifax Iberica S.L.1.000.000 EURZobacz KOMPAS

Jak zapobiegać takim naruszeniom?

1. Zgodę na przetwarzanie danych sformułuj w sposób jednoznaczny, tzn. użytkownik musi być świadomy na co i w jakim zakresie wyraża zgodę.

2. Pozyskuj zgody na przetwarzanie danych w celu profilowania, wyjaśnij na czym będzie polegało profilowanie oraz czym ono skutkuje dla danej osoby.

3. Dokonuj monitorowania, weryfikacji i kontroli nad zakresem przetwarzania danych osobowych w aspekcie legalności przetwarzania danych osobowych.

4. Zaprojektuj mechanizm pozyskiwania zgody na przetwarzanie danych osobowych. Pamiętaj, że zgoda na przetwarzanie danych osobowych musi być świadoma i dobrowolna. Dlatego nie stosuj odgórnie zaznaczonych pól oraz nie traktuj braku działania ze strony osoby, których dane dotyczą, jako zgody.

5. Dokonaj wdrożenia środków organizacyjnych lub technicznych umożliwiających udowodnienie otrzymania zgody podmiotu danych, w szczególności w sposób pozwalający na utrwalenie faktu otrzymania zgody.

6. Weryfikuj zgody na przetwarzanie danych osobowych pod kątem celu przetwarzania (jeden cel przetwarzania = jedna zgoda) oraz dobrowolności wyrażenia zgody.

7. Weryfikuj bazy marketingowe w zakresie posiadania zgody na działania marketingowe oraz realizuj działania marketingowe jedynie wobec osób, które wyraziły na to zgodę.

8. Zaprojektuj proces odwołania zgody w taki sposób, aby spełnione było kryterium prostego i szybkiego odwołania zgody.

9. Zaprojektuj proces obsługi wniosków o odwołanie zgody na przetwarzanie danych, w taki sposób, by osoby, których dane dotyczą mogły skutecznie skorzystać ze swojego prawa do wycofania zgody oraz prawa do bycia zapomnianym.

10. Dokonaj wdrożenia procedury zarządzania listami rezygnacji z kampanii marketingowych (tzw. „czarna lista”) oraz cyklicznie je weryfikuj.

11. Kupuj bazy danych osobowych jedynie od rzetelnego dostawy, który zagwarantuje legalność pozyskania zgód na działania marketingowe oraz sprzedaż baz danych podmiotom trzecim.

12. Sprzedawaj bazy marketingowe jedynie w zakresie, gdzie została odnotowana zgoda na realizowanie działań marketingowych przez podmioty zewnętrzne nabywające bazę.

13. Jeśli na swojej stronie internetowej wykorzystujesz pliki cookie lub inne pliki śledzące, pamiętaj o poinformowaniu o tym użytkownika oraz daj mu możliwość wyboru w zakresie wyrażenia na nie zgody.

WRÓĆ DO KOMPASU FORSAFE