Obowiązek informacyjny rodo

Niewystarczająca podstawa prawna do przetwarzania danych

Niewystarczająca podstawa prawna do przetwarzania danych

Naruszenie to dotyczy najczęściej art. 5 i 6 RODO

Przejrzyj kary nałożone w krajach Unii Europejskiej oraz w Polsce za to naruszenie

DataKrajOrgan nadzorczy wydający decyzjęPodmiot kontrolowanyKara (EUR)Kompas
21.01.2019FrancjaFrench Data Protection Authority (CNIL)Google Inc.50.000.000Zobacz KOMPAS
25.04.2019PolskaPrezes Urzędu Ochrony Danych OsobowychDolnośląski Związek Piłki Nożnej12.244Zobacz KOMPAS
23.10.2019AustriaAustrian Data Protection Authority (dsb)Austrian Post18.000.000Zobacz KOMPAS
11.12.2019WłochyItalian Data Protection Authority (Garante)Eni Gas e Luce11.500.000Zobacz KOMPAS
15.01.2020WłochyItalian Data Protection Authority (Garante)TIM (telecommunications operator)27.800.000Zobacz KOMPAS
04.03.2020PolskaPrezes Urzędu Ochrony Danych OsobowychSzkoła Podstawowa nr 2 w Gdańsku4.392,30
Kara anulowana przez NSA z powodu zakwestionowania naruszenia
zasady minimalizacji danych
Zobacz KOMPAS 1
Zobacz KOMPAS 2
05.06.2020PolskaPrezes Urzędu Ochrony Danych OsobowychB. S.A.NAKAZZobacz KOMPAS
13.07.2020WłochyItalian Data Protection Authority (Garante)Wind Tre S.p.A.16.700.000 Zobacz KOMPAS
30.06.2020 PolskaPrezes Urzędu Ochrony Danych OsobowychZespół Szkół Ogólnokształcących w D.UPOMNIENIEZobacz KOMPAS
24.08.2020PolskaPrezes Urzędu Ochrony Danych OsobowychGłówny Geodeta Kraju22.000Zobacz KOMPAS 1
Zobacz KOMPAS 2
01.10.2020NiemcyData Protection Authority of HamburgH&M Hennes & Mauritz Online Shop A.B. & Co. KG35.258.708Zobacz KOMPAS
08.01.2021NiemcyData Protection Authority of Niedersachsennotebooksbilliger.de10.400.000Zobacz KOMPAS
13.01.2021HiszpaniaSpanish Data Protection Authority (AEPD)Caixabank S.A.6.000.000Zobacz KOMPAS
11.03.2021HolandiaDutch Supervisory Authority for Data Protection (AP)Municipality of Enschede600.000Zobacz KOMPAS
24.04.2021HiszpaniaSpanish Data Protection Authority (AEPD)Equifax Iberica S.L.1.000.000Zobacz KOMPAS
21.06.2021SzwecjaData Protection Authority of Sweden (Integritetsskyddsmyndigheten)Aktiebolaget Storstockholms Lokaltrafik1.600.000Zobacz KOMPAS
13.05.2021WłochyItalian Data Protection Authority (Garante)Iren Mercato S.p.A.2.856.169 Zobacz KOMPAS
26.07.2021HiszpaniaSpanish Data Protection Authority (AEPD)Mercadona S.A.2.520.000Zobacz KOMPAS
02.08.2021AustriaAustrian Data Protection AuthorityUnser Ö-Bonus Club GmbH2.000.000Zobacz KOMPAS
30.04.2020PolskaPrezes Urzędu Ochrony Danych OsobowychP. Sp. z o.o.NAKAZZobacz KOMPAS
01.07.2021PolskaPrezes Urzędu Ochrony Danych OsobowychPan M. S.NAKAZZobacz KOMPAS
16.09.2021WłochyItalian Data Protection Authority (Garante)Sky Italia S.r.l.3.296.326Zobacz KOMPAS
21.10.2021HiszpaniaSpanish Data Protection Authority (AEPD)CAIXABANK PAYMENTS & CONSUMER EFC, EP, S.A.U.3.000.000Zobacz KOMPAS
20.11.2019PolskaPrezes Urzędu Ochrony Danych OsobowychPan P. K. prowadzący działalność gospodarczą pod firmą P.NAKAZZobacz KOMPAS
30.04.2020HolandiaDutch Supervisory Authority for Data Protection (AP)Pracodawca725.000Zobacz KOMPAS
25.11.2021HolandiaDutch Supervisory Authority for Data Protection (AP)Dutch Minister of Finance2.750.000Zobacz KOMPAS
26.09.2019PolskaPrezes Urzędu Ochrony Danych OsobowychA. S.A.NAKAZZobacz KOMPAS
19.09.2019PolskaPrezes Urzędu Ochrony Danych OsobowychPaństwowa Inspekcja Pracy z siedzibą w WarszawieNAKAZZobacz KOMPAS
13.12.2021NorwegiaNorwegian Supervisory Authority (Datatilsynet)Grindr LLC6.300.000Zobacz KOMPAS
31.12.2021FrancjaFrench Data Protection Authority (CNIL)Google LLC90.000.000Zobacz KOMPAS
31.12.2021FrancjaFrench Data Protection Authority (CNIL)Google Ireland Ltd.60.000.000Zobacz KOMPAS
31.12.2021FrancjaFrench Data Protection Authority (CNIL)Facebook Ireland Ltd.60.000.000Zobacz KOMPAS
11.07.2019PolskaPrezes Urzędu Ochrony Danych OsobowychO. z siedzibą w P.NAKAZZobacz KOMPAS
21.12.2021PortugaliaPortuguese Data Protection Authority (CNPD)Lisbon City Council1.250.000Zobacz KOMPAS
11.07.2019PolskaPrezes Urzędu Ochrony Danych OsobowychSzkoła Podstawowa w W.UPOMNIENIEZobacz KOMPAS
16.12.2021WłochyItalian Data Protection Authority (Garante)Enel Energia S.p.A26.513.977Zobacz KOMPAS
26.06.2019PolskaPrezes Urzędu Ochrony Danych OsobowychPan K.Ch. prowadzący działalność gospodarcząNAKAZZobacz KOMPAS
18.06.2019PolskaPrezes Urzędu Ochrony Danych OsobowychDyrektor Zakładu Karnego w J.NAKAZZobacz KOMPAS
11.02.2022HiszpaniaSpanish Data Protection Authority (AEPD)Amazon Road Transport Spain S.L.2.000.000Zobacz KOMPAS
27.03.2019PolskaPrezes Urzędu Ochrony Danych OsobowychPaństwowy Powiatowy Inspektor Sanitarny w N.NAKAZZobacz KOMPAS
21.03.2019PolskaPrezes Urzędu Ochrony Danych OsobowychPan A.W. prowadzący działalność gospodarczą NAKAZZobacz KOMPAS
06.02.2019PolskaPrezes Urzędu Ochrony Danych OsobowychPaństwowy Powiatowy Inspektorat Sanitarny w G.NAKAZZobacz KOMPAS
30.01.2019PolskaPrezes Urzędu Ochrony Danych OsobowychUrząd Celno-Skarbowy w W.NAKAZZobacz KOMPAS
03.03.2020HolandiaDutch Supervisory Authority for Data Protection (AP)Royal Dutch Tennis Association525.000Zobacz KOMPAS
31.05.2022PolskaPrezes Urzędu Ochrony Danych OsobowychStołeczny Ośrodek dla Osób Nietrzeźwych10.000Zobacz KOMPAS

Jak zapobiegać takim naruszeniom?

1. Zgodę na przetwarzanie danych sformułuj w sposób jednoznaczny, tzn. użytkownik musi być świadomy na co i w jakim zakresie wyraża zgodę.

2. Pozyskuj zgody na przetwarzanie danych w celu profilowania, wyjaśnij na czym będzie polegało profilowanie oraz czym ono skutkuje dla danej osoby.

3. Dokonuj monitorowania, weryfikacji i kontroli nad zakresem przetwarzania danych osobowych w aspekcie legalności przetwarzania danych osobowych.

4. Zaprojektuj mechanizm pozyskiwania zgody na przetwarzanie danych osobowych. Pamiętaj, że zgoda na przetwarzanie danych osobowych musi być świadoma i dobrowolna. Dlatego nie stosuj odgórnie zaznaczonych pól oraz nie traktuj braku działania ze strony osoby, których dane dotyczą, jako zgody.

5. Dokonaj wdrożenia środków organizacyjnych lub technicznych umożliwiających udowodnienie otrzymania zgody podmiotu danych, w szczególności w sposób pozwalający na utrwalenie faktu otrzymania zgody.

6. Weryfikuj zgody na przetwarzanie danych osobowych pod kątem celu przetwarzania (jeden cel przetwarzania = jedna zgoda) oraz dobrowolności wyrażenia zgody.

7. Weryfikuj bazy marketingowe w zakresie posiadania zgody na działania marketingowe oraz realizuj działania marketingowe jedynie wobec osób, które wyraziły na to zgodę.

8. Zaprojektuj proces odwołania zgody w taki sposób, aby spełnione było kryterium prostego i szybkiego odwołania zgody.

9. Zaprojektuj proces obsługi wniosków o odwołanie zgody na przetwarzanie danych, w taki sposób, by osoby, których dane dotyczą mogły skutecznie skorzystać ze swojego prawa do wycofania zgody oraz prawa do bycia zapomnianym.

10. Dokonaj wdrożenia procedury zarządzania listami rezygnacji z kampanii marketingowych (tzw. „czarna lista”) oraz cyklicznie je weryfikuj.

11. Kupuj bazy danych osobowych jedynie od rzetelnego dostawy, który zagwarantuje legalność pozyskania zgód na działania marketingowe oraz sprzedaż baz danych podmiotom trzecim.

12. Sprzedawaj bazy marketingowe jedynie w zakresie, gdzie została odnotowana zgoda na realizowanie działań marketingowych przez podmioty zewnętrzne nabywające bazę.

13. Jeśli na swojej stronie internetowej wykorzystujesz pliki cookie lub inne pliki śledzące, pamiętaj o:

  • poinformowaniu o tym użytkownika – informacje należy podać przed instalacją cookie w jasnej i zrozumiałej formie np. poprzez komunikat/powiadomienie na stronie np. w postaci belki lub politykę cookie
  • pozyskaniu zgody użytkownika na wykorzystanie cookie.

WRÓĆ DO KOMPASU FORSAFE