Kary za naruszenia RODO – lato 2019

Hiszpania

Hiszpański organ nadzorczy (Agencia Española de Protección de Datos) ukarał spółkę zarządzającą tamtejszą ekstraklasą piłkarską (Liga de Fútbol Profesional, LFP) karą w wysokości 250 000 euro za naruszenie zasady przejrzystości, wymagającej, by wszelkie informacje i komunikaty związane z przetwarzaniem danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem.

Aplikacja przygotowana przez LFP pozwalała na zbieranie i utrwalanie dźwięków pojawiających się wokół urządzenia mobilnego, na którym została zainstalowana. Stosowna informacja nie była jednak, wystarczająco czytelnie przedstawiana użytkownikom. W szczególności informacja ta powinna być przekazywana za każdym razem, gdy aplikacja uzyskiwała dostęp do mikrofonu. Brak świadomości użytkowników może powodować przechwytywanie danych osobowych osób trzecich, niekorzystających z aplikacji, w szczególności jeżeli korzystanie z niej będzie następowało w miejscach publicznych. Treść decyzji dostępna jest tutaj: https://www.aepd.es/resoluciones/PS-00326-2018_ORI.pdf

Francja

Po rekordowej sankcji w wysokości 50 mln euro nałożonej na Google, francuski organ nadzorczy (Commission nationale de l'informatique et des libertés) nałożył kolejną karę. Tym razem otrzymała ją spółka Uniontrad Company za nieprawidłowości w zakresie stosowania monitoringu wobec pracowników. Kara wynosiła tym razem jedynie 20 000 euro.

Organ nadzorczy stwierdził, że spółka stosowała monitoring wobec swoich pracowników, w sposób niedozwolony. Naruszone zostały w szczególności zasady dotyczące wyczerpującego poinformowania pracowników o monitoringu, monitoring był stosowany w sposób ciągły (co jest sprzeczne z francuskimi regulacjami w tym zakresie), a stanowiska komputerowe i dostęp do poczty elektronicznej nie były zabezpieczone zindywidualizowanym hasłem. Mimo uzyskania zaleceń, spółka nie wdrożyła ich w pełni, co spowodowało nałożenie kary administracyjnej. Treść decyzji dostępna jest tutaj: https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000038629823&fastReqId=946473298&fastPos=1

Rumunia

Karę w wysokości 130 000 euro nałożył także rumuński organ nadzorczy (Autoritatea Națională de Supraveghere) na Unicredit Bank S.A. za brak wdrożenia odpowiednich środków technicznych i organizacyjnych w celu skutecznej realizacji zasad ochrony danych. Naruszenie polegało w szczególności na nadmiarowe gromadzenie danych, bez możliwości wykazania celu i potrzeby przetwarzania części z nich. Prócz złamania zasady minimalizacji danych, bank nie wprowadził także niezbędnych zabezpieczeń organizacyjnych i technicznych. Doprowadziło to do ujawnienia danych osobistych ponad 330 tysięcy klientów instytucji, w szczególności ich adresów i numerów identyfikacyjnych. Treść komunikatu informacyjnego dostępna jest tutaj: https://www.dataprotection.ro/index.jsp?page=Comunicat_Amenda_Unicredit&lang=en

Polecamy: INFORLEX Biznes

NOWOŚĆ na Infor.pl: Prenumerata elektroniczna Dziennika Gazety Prawnej KUP TERAZ!

Belgia

Kolejnym krajem, w którym organ nadzorczy nałożył karę administracyjną była Belgia. Tamtejszy urząd (L’Autorité de protection des données) nałożył sankcję na federalną służbę publiczną ds. zdrowia (Service Public Fédéral (SPF) Santé Publique) za brak realizacji uprawnienia do dostępu do przetwarzanych danych osobowych.

Sprawa została wywołana skargą jednego z pracowników instytucji, któremu odmówiono nominacji na stanowisko, na które aplikował. Chcąc poznać motywy odmowy zawnioskował on o dostęp do przetwarzanych danych osobowych. Żądanie to zostało jednak zignorowane przez SPF. Rozpoznając skargę organ nadzorczy potwierdził brak realizacji uprawnienia pracownika i z tego powodu nałożył na instytucją karę administracyjną. Treść komunikatu informacyjnego dostępna jest tutaj: https://www.autoriteprotectiondonnees.be/news/lautorite-de-protection-des-donnees-prononce-une-reprimande-contre-le-spf-sante-publique

Powyższe kary administracyjne nałożone przez europejskie organy nadzorcze zostały nałożone przede wszystkim za brak realizowania obowiązków informacyjnych i realizowania żądań podmiotów danych oraz za brak wymaganych, adekwatnych zabezpieczeń technicznych i organizacyjnych przy przetwarzaniu danych osobowych. Pokazuje to, że przedsiębiorcy, chcą uniknąć kar finansowych, powinni dołożyć szczególnej staranności w tym zakresie. Wymaga to przygotowania i wdrożenia stosownych procedur oraz zapewnienia odpowiedniej świadomości pracowników i współpracowników.

adw. dr Jan Prasałek, RK RODO