{"id":2276,"date":"2021-01-08T22:23:29","date_gmt":"2021-01-08T22:23:29","guid":{"rendered":"https:\/\/aplaw.pl\/?p=2276"},"modified":"2021-01-08T22:24:34","modified_gmt":"2021-01-08T22:24:34","slug":"the-penalty-in-the-amount-of-eur-400k-imposed-on-a-hospital-in-portugal-eur-50-m-in-france-on-google-eur-14-5-m-in-germany-on-deutsche-wohnen-and-eur-35-2-m-on-hm-in-poland-puodo-imposed-penalties","status":"publish","type":"post","link":"https:\/\/aplaw.pl\/en\/publications\/the-penalty-in-the-amount-of-eur-400k-imposed-on-a-hospital-in-portugal-eur-50-m-in-france-on-google-eur-14-5-m-in-germany-on-deutsche-wohnen-and-eur-35-2-m-on-hm-in-poland-puodo-imposed-penalties\/","title":{"rendered":"The penalty in the amount of EUR 400k imposed on a hospital in Portugal, EUR 50 m in France on Google, EUR 14.5 m in Germany on Deutsche Wohnen and EUR 35.2 m on H&#038;M. In Poland PUODO imposed penalties on Bisnode, Morele.net and QuickClickNow, inter alia. These cases and many others you will find in an article by Aneta Posytek."},"content":{"rendered":"<p>In the current edition of Magazyn ODO Ochrona Danych Osobowych edited in January 2021, an article by Aneta Posytek was published &#8220;<strong>The most interesting cases of personal data infringement in Poland and Europe&#8221;.<\/strong><\/p>\n<p>Od czasu wej\u015bcia w \u017cycie rozporz\u0105dzenia Parlamentu Europejskiego i Rady (UE) 2016\/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony os\u00f3b fizycznych w zwi\u0105zku z przetwarzaniem danych osobowych i w sprawie swobodnego przep\u0142ywu takich danych oraz uchylenia dyrektywy 95\/46\/WE (og\u00f3lne rozporz\u0105dzenie o ochronie danych), powszechnie znanego jako \u201eRODO\u201d, kary finansowe za naruszenie ochrony danych osobowych sta\u0142y si\u0119 faktem.<\/p>\n<p><strong>Wybrane decyzje wydane przez Prezesa Urz\u0119du Ochrony Danych Osobowych<\/strong><\/p>\n<p>Pierwsza decyzja, na mocy kt\u00f3rej w 2019 r. Prezes Urz\u0119du Danych Osobowych na\u0142o\u017cy\u0142 kar\u0119 finansow\u0105, dotyczy\u0142a sp\u00f3\u0142ki <strong>Bisnode Polska.<\/strong> Sp\u00f3\u0142ka nie spe\u0142ni\u0142a obowi\u0105zku informacyjnego wynikaj\u0105cego z art. 14 RODO. Brak spe\u0142nienia tego obowi\u0105zku dotyczy\u0142 przedsi\u0119biorc\u00f3w prowadz\u0105cych dzia\u0142alno\u015b\u0107 gospodarcz\u0105 lub tych, kt\u00f3rzy t\u0119 dzia\u0142alno\u015b\u0107 zawiesili, a tak\u017ce tych, kt\u00f3rzy dzia\u0142alno\u015bci gospodarczej nie prowadz\u0105, ale prowadzili j\u0105 w przesz\u0142o\u015bci, do kt\u00f3rych Sp\u00f3\u0142ka nie posiada\u0142a adresu e-mail w swojej bazie danych.<\/p>\n<p>Dane osobowe pochodzi\u0142y ze \u017ar\u00f3de\u0142 publicznie dost\u0119pnych, w tym m.in. rejestru przedsi\u0119biorc\u00f3w Krajowego Rejestru S\u0105dowego, Centralnej Ewidencji i Informacji o Dzia\u0142alno\u015bci Gospodarczej, Bazy REGON G\u0142\u00f3wnego Urz\u0119du Statystycznego. Sp\u00f3\u0142ka spe\u0142ni\u0142a obowi\u0105zek informacyjny jedynie w odniesieniu do os\u00f3b, kt\u00f3rych posiada\u0142a adresy e-mail. Natomiast w odniesieniu do pozosta\u0142ych os\u00f3b, kt\u00f3rych adresu e-mail Sp\u00f3\u0142ka w swojej bazie danych nie posiada\u0142a, podj\u0119\u0142a decyzj\u0119 o nierealizowaniu obowi\u0105zku informacyjnego, chocia\u017cby nawet przez wys\u0142anie kr\u00f3tkich wiadomo\u015bci tekstowych (SMS). Ze wzgl\u0119du na wysokie koszty Sp\u00f3\u0142ka nie zdecydowa\u0142a si\u0119 r\u00f3wnie\u017c na spe\u0142nienie tego obowi\u0105zku drog\u0105 tradycyjnej korespondencji wys\u0142anej do os\u00f3b, kt\u00f3rych dane przetwarza. W ocenie Sp\u00f3\u0142ki realizacja obowi\u0105zku informacyjnego w formie indywidualnego kontaktu z ka\u017cd\u0105 osob\u0105, kt\u00f3rej dane dotycz\u0105, powodowa\u0142aby po jej stronie \u201eniewsp\u00f3\u0142mierny wysi\u0142ek\u201d, wskazany w art. 14.5.b RODO, rozumiany przez Sp\u00f3\u0142k\u0119 jako obci\u0105\u017cenie organizacyjne oraz finansowe. Zdaniem Sp\u00f3\u0142ki takie obci\u0105\u017cenie w krytyczny spos\u00f3b zak\u0142\u00f3ci\u0142oby jej funkcjonowanie w Polsce. Bisnode Polska zamie\u015bci\u0142a wy\u0142\u0105cznie klauzul\u0119 informacyjn\u0105 odpowiadaj\u0105c\u0105 wymogom art. 14.1 i 2 RODO na swojej stronie internetowej, co wed\u0142ug organu nie by\u0142o jednak wystarczaj\u0105ce.<\/p>\n<p>W ocenie Prezesa Urz\u0119du Ochrony Danych Osobowych spe\u0142nienie obowi\u0105zku informacyjnego wynikaj\u0105cego z art. 14 RODO poczt\u0105 tradycyjn\u0105, na adres osoby fizycznej prowadz\u0105cej dzia\u0142alno\u015b\u0107 gospodarcz\u0105, lub w drodze kontaktu telefonicznego, nie by\u0142o czynno\u015bci\u0105 \u201eniemo\u017cliw\u0105\u201d oraz nie wymaga\u0142o \u201eniewsp\u00f3\u0142miernie du\u017cego wysi\u0142ku\u201d, w sytuacji, w kt\u00f3rej Sp\u00f3\u0142ka posiada\u0142a w bazie systemu informatycznego dane adresowe, w odniesieniu do os\u00f3b fizycznych prowadz\u0105cych jednoosobow\u0105 dzia\u0142alno\u015b\u0107 gospodarcz\u0105 (aktualnie lub w przesz\u0142o\u015bci), a tak\u017ce numery telefon\u00f3w do cz\u0119\u015bci tych os\u00f3b. Prezes Urz\u0119du Ochrony Danych Osobowych na\u0142o\u017cy\u0142 na Sp\u00f3\u0142k\u0119 kar\u0119 pieni\u0119\u017cn\u0105 w wysoko\u015bci 943.470,00 PLN.<\/p>\n<p>Z kolei najwy\u017csza dotychczas kara finansowa w Polsce, w wysoko\u015bci 2.830.410,00 PLN, zosta\u0142a na\u0142o\u017cona na sp\u00f3\u0142k\u0119 <strong>Morele.net,<\/strong> prowadz\u0105c\u0105 kilka sklep\u00f3w internetowych. Sp\u00f3\u0142ka, jako administrator danych, naruszy\u0142a zasad\u0119 poufno\u015bci danych (art. 5.1.f RODO), nie zapewni\u0142a bowiem bezpiecze\u0144stwa i poufno\u015bci przetwarzanych danych, co spowodowa\u0142o, \u017ce dost\u0119p do danych osobowych jej klient\u00f3w uzyska\u0142y osoby nieuprawnione. Sp\u00f3\u0142ka nie zastosowa\u0142a odpowiednich \u015brodk\u00f3w technicznych i organizacyjnych, by zapewni\u0107 stopie\u0144 bezpiecze\u0144stwa odpowiadaj\u0105cy ryzyku nieuprawnionego dost\u0119pu do danych osobowych jej klient\u00f3w, co skutkowa\u0142o dost\u0119pem do bazy danych klient\u00f3w Sp\u00f3\u0142ki w \u0142\u0105cznej liczbie oko\u0142o 2.200.000 os\u00f3b, kt\u00f3re dokona\u0142y rejestracji w poszczeg\u00f3lnych sklepach internetowych, podaj\u0105c swoje imi\u0119 i nazwisko, adres e-mail, numer telefonu oraz adres do dor\u0119cze\u0144. Wydana przez Prezesa Urz\u0119du Ochrony Danych Osobowych decyzja omawia szczeg\u00f3\u0142owo zagadnienie technicznego zabezpieczenia danych osobowych. PUODO podkre\u015bli\u0142, jak istotne jest monitorowanie poziomu bezpiecze\u0144stwa danych oraz wskaza\u0142 przyk\u0142adowe zasady, kt\u00f3re powinny by\u0107 brane pod uwag\u0119 przy wdra\u017caniu przez administrator\u00f3w \u015brodk\u00f3w bezpiecze\u0144stwa, kt\u00f3re powinny by\u0107 adekwatne do ryzyka. Kontrola dost\u0119pu i uwierzytelnianie to podstawowe \u015brodki bezpiecze\u0144stwa maj\u0105ce na celu ochron\u0119 przed nieautoryzowanym dost\u0119pem do systemu informatycznego wykorzystywanego do przetwarzania danych osobowych. Zapewnienie dost\u0119pu uprawnionym u\u017cytkownikom i zapobieganie nieuprawnionemu dost\u0119powi do system\u00f3w i us\u0142ug to jeden z podstawowych element\u00f3w bezpiecze\u0144stwa. Zgodnie z art. 32.1 RODO, czynnikiem, kt\u00f3ry nale\u017cy bra\u0107 pod uwag\u0119 przy doborze w\u0142a\u015bciwych \u015brodk\u00f3w technicznych i organizacyjnych, jest<br \/>\nstan wiedzy technicznej, kt\u00f3ry powinno si\u0119 ocenia\u0107 z uwzgl\u0119dnieniem warunk\u00f3w rynkowych, w szczeg\u00f3lno\u015bci dost\u0119pno\u015bci rynkowej danego rozwi\u0105zania technicznego. Wskaz\u00f3wek konkretyzuj\u0105cych w tym przedmiocie dostarczaj\u0105 obowi\u0105zuj\u0105ce standardy i normy, w szczeg\u00f3lno\u015bci normy ISO, standardy ENISA, OWASP, kt\u00f3re ulegaj\u0105 r\u00f3wnie\u017c ci\u0105g\u0142ym przegl\u0105dom i zmianom warunkowanym post\u0119pem technologicznym.<\/p>\n<p>Europejska Agencja ds. Bezpiecze\u0144stwa Sieci i Informacji (ENISA) w swoich wytycznych dotycz\u0105cych bezpiecze\u0144stwa przetwarzania danych osobowych rekomenduje stosowanie mechanizmu uwierzytelnia dwuetapowego dla system\u00f3w obejmuj\u0105cych dost\u0119p do danych osobowych. Natomiast Fundacja OWASP, mi\u0119dzynarodowa organizacja non-profit, kt\u00f3rej celem jest opracowywanie i szerzenie dobrych praktyk kierowanych do tw\u00f3rc\u00f3w oprogramowania, opracowa\u0142a list\u0119 najwi\u0119kszych zagro\u017ce\u0144 dla aplikacji internetowych wraz z metodami zapobiegania tym zagro\u017ceniom. Jednym z nich jest prze\u0142amanie \u015brodka uwierzytelniaj\u0105cego (najcz\u0119\u015bciej jednoetapowego). Jako \u015brodek zapobiegawczy rekomendowane jest stosowanie wieloetapowego uwierzytelniania jako spos\u00f3b na znaczne zminimalizowanie ryzyka prze\u0142amania zabezpiecze\u0144.<\/p>\n<p>Za nieprawid\u0142ow\u0105 realizacj\u0119 praw os\u00f3b, kt\u00f3rych dane osobowe dotycz\u0105 oraz przetwarzanie danych osobowych bez podstawy prawnej organ ochrony danych ukara\u0142 z kolei sp\u00f3\u0142k\u0119 <strong>ClickQuickNow<\/strong> kar\u0105 finansow\u0105 w wysoko\u015bci 201.559,50 PLN. W ocenie Prezesa Urz\u0119du Ochrony Danych Osobowych Sp\u00f3\u0142ka nie opracowa\u0142a i nie wdro\u017cy\u0142a odpowiednich \u015brodk\u00f3w technicznych i organizacyjnych, kt\u00f3re powodowa\u0142yby, \u017ce osoba, kt\u00f3rej dane dotycz\u0105 otrzymuje w formie \u0142atwo dost\u0119pnej, zwi\u0119z\u0142ej, przejrzystej i zrozumia\u0142ej informacje na temat mo\u017cliwo\u015bci skutecznego wycofania (odwo\u0142ania) drog\u0105 elektroniczn\u0105 zgody na przetwarzanie danych osobowych (art. 7.3 oraz art. 12.1 RODO), w efekcie czego osoba, kt\u00f3rej dane dotycz\u0105 nie mo\u017ce skutecznie skorzysta\u0107 ze swojego prawa do wycofania (odwo\u0142ania) w dowolnym momencie udzielonej zgody oraz prawa do bycia zapomnianym (art. 17.1.b. RODO). Sp\u00f3\u0142ka naruszy\u0142a zasady przejrzysto\u015bci i rzetelno\u015bci w procesie odwo\u0142ania zgody, poprzez kierowanie sprzecznych komunikat\u00f3w, co skutkowa\u0142o wprowadzeniem w b\u0142\u0105d osoby odwo\u0142uj\u0105cej (art. 5.1.a RODO).<\/p>\n<p>Kolejna decyzja, na mocy kt\u00f3rej na\u0142o\u017cono kar\u0119 finansow\u0105, dotyczy <strong>Dolno\u015bl\u0105skiego Zwi\u0105zku Pi\u0142ki No\u017cnej.<\/strong> Na\u0142o\u017cona kara w wysoko\u015bci 55.750,50 PLN, dotyczy\u0142a opublikowania na stronie internetowej, bez podstawy prawnej (art. 6 RODO) danych osobowych s\u0119dzi\u00f3w, kt\u00f3rym przyznano licencje s\u0119dziowskie. Opublikowane dane obejmowa\u0142y imiona i nazwiska, adresy oraz numery PESEL s\u0119dzi\u00f3w. Prezes Urz\u0119du Ochrony Danych Osobowych uzna\u0142, \u017ce naruszenie ma znaczn\u0105 wag\u0119 i powa\u017cny charakter, albowiem stwarza prawdopodobie\u0144stwo wysokiego ryzyka negatywnych skutk\u00f3w prawnych dla 585 os\u00f3b, kt\u00f3rych dane zosta\u0142y ujawnione w Internecie, oraz narusza r\u00f3wnie\u017c podstawow\u0105, w odniesieniu do przetwarzania danych osobowych, zasad\u0119 integralno\u015bci i poufno\u015bci. Dolno\u015bl\u0105ski Zwi\u0105zek Pi\u0142ki No\u017cnej nie zastosowa\u0142 skutecznych \u015brodk\u00f3w technicznych i organizacyjnych, aby zapewni\u0107 stopie\u0144 bezpiecze\u0144stwa odpowiadaj\u0105cy ryzyku udost\u0119pniania danych osobowych na stronie internetowej, przez co dane os\u00f3b, kt\u00f3rym przyznano licencje s\u0119dziowskie by\u0142y dost\u0119pne na stronie w okresie od 2018 r. do 2019 r.<\/p>\n<p>Kolejn\u0105 kar\u0119, w kwocie 15.000 z\u0142, otrzyma\u0142a Sp\u00f3\u0142ka <strong>East Power<\/strong> za celowe utrudnianie przebiegu post\u0119powania oraz brak wsp\u00f3\u0142pracy z organem nadzorczym. Decyzja w niniejszej sprawie dotyczy\u0142a skargi, jaka zosta\u0142a wniesiona w zwi\u0105zku z przetwarzaniem przez Sp\u00f3\u0142k\u0119 danych osobowych w celach marketingowych, pomimo zg\u0142oszonego przez skar\u017c\u0105cego sprzeciwu. W toku post\u0119powania, Sp\u00f3\u0142ka utrudnia\u0142a dost\u0119p do \u017c\u0105danych przez Prezesa Urz\u0119du Ochrony Danych Osobowych informacji, co spowodowa\u0142o utrudnienie i nieuzasadnione przed\u0142u\u017cenie prowadzonego przez organ post\u0119powania. Zdaniem Prezesa Urz\u0119du Ochrony Danych Osobowych, dzia\u0142ania Sp\u00f3\u0142ki mo\u017cna by\u0142o uzna\u0107 za godz\u0105ce w ca\u0142y system ochrony danych osobowych i z tego wzgl\u0119du maj\u0105ce szczeg\u00f3lnie naganny charakter. Wag\u0119 naruszenia zwi\u0119ksza dodatkowo okoliczno\u015b\u0107, \u017ce nie by\u0142o to zdarzenie jednorazowe i incydentalne ze strony Sp\u00f3\u0142ki.<\/p>\n<p>Niewiele wy\u017csz\u0105 kar\u0119, bo 20.000 PLN, na\u0142o\u017cono na sp\u00f3\u0142k\u0119 <strong>Vis Consulting<\/strong>, kt\u00f3ra nie zapewni\u0142a dost\u0119pu do danych osobowych oraz uniemo\u017cliwi\u0142a Organowi przeprowadzenie czynno\u015bci kontrolnych. Prezes Urz\u0119du Ochrony Danych Osobowych zaplanowa\u0142 przeprowadzenie kontroli w Sp\u00f3\u0142ce w zwi\u0105zku z ustaleniami, jakie zosta\u0142y dokonane w toku kontroli przeprowadzonej w innym podmiocie, kt\u00f3ry prowadzi\u0142 dzia\u0142alno\u015b\u0107 telemarketingow\u0105 i w zwi\u0105zku z t\u0105 dzia\u0142alno\u015bci\u0105 przetwarza\u0142 dane osobowe (numery telefon\u00f3w stacjonarnych i kom\u00f3rkowych) za pomoc\u0105 systemu teleinformatycznego dostarczonego przez Sp\u00f3\u0142k\u0119. Przedmiotowy system u\u017cytkowany by\u0142 na podstawie umowy o wsp\u00f3\u0142pracy w zakresie outsourcingu us\u0142ug telemarketingowych. Co istotne kontrolowany podmiot nie posiada\u0142 w\u0142asnej bazy danych, a wszystkie po\u0142\u0105czenia telefoniczne generowane by\u0142y wy\u0142\u0105cznie przez system informatyczny udost\u0119pniony przez Sp\u00f3\u0142k\u0119. Z tre\u015bci umowy outsourcingu wynika\u0142o m.in., \u017ce Sp\u00f3\u0142ka posiada system teleinformatyczny w formie programu komputerowego, kt\u00f3rego u\u017cycie pozwala na wykonywanie po\u0142\u0105cze\u0144 telefonicznych na numery telefon\u00f3w stacjonarnych i kom\u00f3rkowych wed\u0142ug kryterium lokalizacji. Ponadto, funkcjonalno\u015b\u0107 przedmiotowego systemu uniemo\u017cliwia\u0142o kontrolowanemu podmiotowi dost\u0119p do jakichkolwiek informacji, w tym do wybieranego numeru telefonu. Z uwagi na fakt, \u017ce podmiot kontrolowany nie posiada\u0142 dost\u0119pu do danych osobowych przetwarzanych w tym systemie (tj. do informacji o wybieranych numerach telefon\u00f3w), Prezes Urz\u0119du Ochrony Danych Osobowych uzna\u0142 za konieczne przeprowadzenie czynno\u015bci kontrolnych r\u00f3wnie\u017c w Sp\u00f3\u0142ce, kt\u00f3ra zgodnie z umow\u0105 outsourcingu by\u0142a administratorem danych. Celem kontroli mia\u0142o by\u0107 zbadanie legalno\u015bci przetwarzania danych osobowych przy u\u017cyciu przedmiotowego systemu. Prezes Urz\u0119du Ochrony Danych Osobowych stwierdzi\u0142, \u017ce Sp\u00f3\u0142ka swoim zaniechaniem uniemo\u017cliwi\u0142a dokonanie przez Prezesa Urz\u0119du Ochrony Danych Osobowych bardzo istotnych ustale\u0144 dotycz\u0105cych legalno\u015bci przetwarzania danych osobowych. Naruszenie mia\u0142o znaczn\u0105 wag\u0119 i powa\u017cny charakter, poniewa\u017c brak wsp\u00f3\u0142pracy Sp\u00f3\u0142ki z Prezesem Urz\u0119du Ochrony Danych Osobowych spowodowa\u0142o uniemo\u017cliwienie organowi przeprowadzanie kontroli przestrzegania przez Sp\u00f3\u0142k\u0119 przepis\u00f3w o ochronie danych osobowych.<\/p>\n<p>Na uwag\u0119 zas\u0142uguje r\u00f3wnie\u017c post\u0119powanie dotycz\u0105ce podj\u0119tej przez Prezesa Urz\u0119du Ochrony Danych Osobowych kontroli w zakresie udost\u0119pniania u <strong>G\u0142\u00f3wnego Geodety Kraju<\/strong> danych osobowych z ewidencji grunt\u00f3w i budynk\u00f3w za po\u015brednictwem portalu <strong>GEOPORTAL2<\/strong>. Ze wzgl\u0119du na brak zgody G\u0142\u00f3wnego Geodety Kraju kontroluj\u0105cy nie mogli dokona\u0107 oceny wdro\u017conych \u015brodk\u00f3w technicznych maj\u0105cych na celu zapewnienie bezpiecze\u0144stwa danych obj\u0119tych ochron\u0105, w tym danych przetwarzanych za po\u015brednictwem portalu GEOPORTAL2, w szczeg\u00f3lno\u015bci nie dokonali ogl\u0119dzin miejsc, przedmiot\u00f3w, urz\u0105dze\u0144 no\u015bnik\u00f3w oraz system\u00f3w informatycznych s\u0142u\u017c\u0105cych do przetwarzania danych. W dalszym toku post\u0119powania G\u0142\u00f3wny Geodeta Kraju podtrzyma\u0142 sw\u00f3j brak zgody na przeprowadzenie kontroli, nie wyrazi\u0142 r\u00f3wnie\u017c w \u017cadnym stopniu woli wsp\u00f3\u0142pracy z Prezesem Urz\u0119du Ochrony Danych Osobowych w celu usuni\u0119cia naruszenia, mog\u0105cej polega\u0107 w szczeg\u00f3lno\u015bci na udzieleniu pe\u0142nych i wyczerpuj\u0105cych wyja\u015bnie\u0144 w zakresie, w kt\u00f3rym dosz\u0142o do udaremnienia kontroli. Prezes Urz\u0119du Ochrony Danych Osobowych za naruszenie polegaj\u0105ce na braku wsp\u00f3\u0142pracy w ramach wykonywania przez PUODO jego zada\u0144, uniemo\u017cliwieniu przeprowadzenia kontroli w zakresie przetwarzania danych osobowych, a tak\u017ce niezapewnieniu kontroluj\u0105cym dost\u0119pu do pomieszcze\u0144, sprz\u0119tu i \u015brodk\u00f3w s\u0142u\u017c\u0105cych do przetwarzania danych osobowych, oraz dost\u0119pu do danych osobowych i informacji niezb\u0119dnych Prezesowi Urz\u0119du Ochrony Danych Osobowych do realizacji jego zada\u0144 (art. 31 oraz art. 58.1. e) i f) RODO), na\u0142o\u017cy\u0142 na Biuro Geodezji i Kartografii kar\u0119 w wysoko\u015bci 100.000 PLN.<\/p>\n<p><strong>Wybrane decyzje wydane przez europejskie organy nadzoru<\/strong><\/p>\n<p>Analizuj\u0105c z kolei sankcje nak\u0142adane przez organy europejskie warto wskaza\u0107 na kar\u0119 na\u0142o\u017con\u0105 na <strong>szpital w Portugalii<\/strong> w wysoko\u015bci 400.000 EUR. W toku post\u0119powania kontrolnego wykazano trzy grupy narusze\u0144 tj. zasady minimalizacji danych poprzez dost\u0119p do nadmiernej liczby danych osobowych pacjent\u00f3w przez nieupowa\u017cnionych do tego pracownik\u00f3w (art. 5.1.c RODO), zasady integralno\u015bci i poufno\u015bci w wyniku niestosowania \u015brodk\u00f3w technicznych i organizacyjnych w celu uniemo\u017cliwienia bezprawnego dost\u0119pu do danych osobowych (art. 5.1.f RODO) oraz niezdolno\u015b\u0107 do zapewnienia ci\u0105g\u0142ej poufno\u015bci, integralno\u015bci, dost\u0119pno\u015bci i odporno\u015bci system\u00f3w i us\u0142ug leczniczych, a tak\u017ce za niewdro\u017cenie \u015brodk\u00f3w technicznych w celu zapewnienia prawid\u0142owego poziomu bezpiecze\u0144stwa adekwatnego do ryzyka, w tym procesu regularnego testowania i oceny \u015brodk\u00f3w technicznych i organizacyjnych w celu zapewnienia bezpiecze\u0144stwa przetwarzania (art. 32.1.b RODO).<\/p>\n<p>W 2019 roku francuski organ nadzoru (CNIL), na\u0142o\u017cy\u0142 na firm\u0119 <strong>GOOGLE LLC<\/strong> kar\u0119 finansow\u0105 w wysoko\u015bci 50.000.000 EUR, za brak przejrzysto\u015bci (art. 5.1.a RODO), brak spe\u0142nienia obowi\u0105zku informacyjnego (art. 13 i 14 RODO), oraz brak podstawy prawnej do przetwarzania danych osobowych u\u017cytkownik\u00f3w us\u0142ug \u015bwiadczonych przez GOOGLE, w szczeg\u00f3lno\u015bci w celu personalizacji reklam (art. 6 RODO). Ponadto, uzyskane przez firm\u0119 zgody nie by\u0142y \u201ekonkretne\u201d ani \u201ejednoznaczne\u201d co narusza\u0142o art. 4.11 RODO. Post\u0119powanie kontrolne by\u0142o przeprowadzone na podstawie skarg austriackiej organizacji \u201eNone Of Your Business\u201d i francuskiej organizacji pozarz\u0105dowej \u201eLa Quadrature du Net\u201d, dotycz\u0105cych utworzenia konta Google podczas konfiguracji telefonu kom\u00f3rkowego za pomoc\u0105 systemu operacyjnego Android.<\/p>\n<p>Ten sam francuski organ nadzorczy w 2020 r. podj\u0105\u0142 swoj\u0105 pierwsz\u0105 decyzj\u0119 o na\u0142o\u017ceniu sankcji we wsp\u00f3\u0142pracy z innymi europejskimi organami nadzorczymi, w odpowiedzi na kilka narusze\u0144 RODO przez sp\u00f3\u0142k\u0119 <strong>SPARTOO,<\/strong> specjalizuj\u0105c\u0105 si\u0119 w sprzeda\u017cy obuwia online. Sp\u00f3\u0142ka posiada stron\u0119 internetow\u0105 dost\u0119pn\u0105 w trzynastu krajach Unii Europejskiej. Post\u0119powanie kontrolne wykaza\u0142o naruszenie zasady minimalizacji danych (art. 5.1.c RODO), poprzez pe\u0142ne i trwa\u0142e nagrywanie rozm\u00f3w telefonicznych odbieranych przez pracownik\u00f3w obs\u0142ugi klienta. Ponadto Sp\u00f3\u0142ka rejestrowa\u0142a i przechowywa\u0142a dane bankowe klient\u00f3w, kt\u00f3re by\u0142y przekazywane podczas sk\u0142adania telefonicznych zam\u00f3wie\u0144. Sp\u00f3\u0142ka naruszy\u0142a r\u00f3wnie\u017c obowi\u0105zek ograniczenia okresu przechowywania danych (art. 5.1.e RODO), nie usuwaj\u0105c na bie\u017c\u0105co danych osobowych oraz nie archiwizuj\u0105c ich. SPARTOO nie zapewni\u0142a bezpiecze\u0144stwa danych osobowych naruszaj\u0105c tym samym art.32 RODO. Ponadto organ nadzorczy stwierdzi\u0142 niespe\u0142nienie obowi\u0105zk\u00f3w informacyjnych wg art. 13 RODO, poniewa\u017c informacje zawarte w polityce prywatno\u015bci serwisu by\u0142y niesp\u00f3jne. Ponadto w przypadku pracownik\u00f3w brakowa\u0142o wystarczaj\u0105cych informacji na temat nagrywania rozm\u00f3w telefonicznych z klientami. Pracownicy nie byli informowani o celu przetwarzania, podstawie prawnej, odbiorcach danych, okresie przechowywania danych oraz o przys\u0142uguj\u0105cych im prawach. Ze wzgl\u0119du na znaczn\u0105 liczb\u0119 narusze\u0144 organ na\u0142o\u017cy\u0142 na SPARTOO kar\u0119 finansow\u0105 w wysoko\u015bci 250.000 EUR.<\/p>\n<p>Du\u0144ski organ nadzorczy na\u0142o\u017cy\u0142 na <strong>Arp-Hansen Hotel Group<\/strong> kar\u0119 finansow\u0105 w wysoko\u015bci 147.000 EUR. Organ nadzorczy dokona\u0142 kontroli system\u00f3w informatycznych w celu zbadania, czy Arp-Hansen Hotel Group dysponowa\u0142 wystarczaj\u0105cymi procedurami zapewniaj\u0105cymi, \u017ce dane osobowe nie s\u0105 przechowywane d\u0142u\u017cej ni\u017c jest to konieczne do cel\u00f3w ich gromadzenia. Kontrola wykaza\u0142a, \u017ce jeden z system\u00f3w rezerwacji zawiera\u0142 du\u017c\u0105 ilo\u015b\u0107 danych osobowych, kt\u00f3re nale\u017ca\u0142o ju\u017c usun\u0105\u0107 zgodnie z terminami usuwania ustalonymi przez sam\u0105 Arp-Hansen Hotel Group, tym samym zosta\u0142 naruszony obowi\u0105zek ograniczenia okresu przechowywania danych (art. 5.1.e RODO).<\/p>\n<p>W pa\u017adzierniku 2019 r. Berli\u0144ski komisarz ds. Ochrony danych i wolno\u015bci informacji na\u0142o\u017cy\u0142 na <strong>Deutsche Wohnen SE<\/strong> kar\u0119 w wysoko\u015bci oko\u0142o 14.500.000 EUR za naruszenia art.25 ust. 1 RODO i art. 5 RODO za okres od maja 2018 r. do marca 2019 r. Podczas kontroli organ nadzorczy stwierdzi\u0142, \u017ce firma wykorzystywa\u0142a system archiwalny do przechowywania danych osobowych najemc\u00f3w, kt\u00f3ry nie zapewnia\u0142 mo\u017cliwo\u015bci usuni\u0119cia danych, kt\u00f3re nie s\u0105 ju\u017c potrzebne. Dotyczy\u0142o to danych o sytuacji osobistej i finansowej najemc\u00f3w, wyci\u0105gi z um\u00f3w o prac\u0119, dane podatkowe, ubezpieczenia spo\u0142eczne i zdrowotne oraz wyci\u0105gi bankowe.<\/p>\n<p>Za zbyt du\u017c\u0105 ingerencj\u0119 pracodawcy w dane pracownik\u00f3w, w tym ich dane z \u017cycia prywatnego, zosta\u0142a ukarana niemiecka sp\u00f3\u0142ka <strong>H&amp;M Hennes &amp; Mauritz Online Shop A.B. &amp; Co. KG<\/strong>. Niemiecki organ nadzoru ustali\u0142, \u017ce Sp\u00f3\u0142ka zbiera\u0142a i utrwala\u0142a w formie notatek na dysku sieciowym, szczeg\u00f3\u0142owe informacje dotycz\u0105ce \u017cycia prywatnego pracownik\u00f3w m.in. informacje dotycz\u0105ce urlop\u00f3w, a w przypadku urlopu chorobowego, informacje dotycz\u0105ce objaw\u00f3w danej choroby i wydanej przez lekarzy diagnozy. W formie elektronicznej by\u0142y r\u00f3wnie\u017c utrwalane informacje dotycz\u0105ce \u017cycia prywatnego pracownik\u00f3w np. ich problem\u00f3w rodzinnych czy przekona\u0144 religijnych, kt\u00f3re by\u0142y<br \/>\nzbierane podczas zwyk\u0142ych rozm\u00f3w towarzyskich. Dost\u0119p do tak zebranych informacji mog\u0142o mie\u0107 nawet 50 os\u00f3b z kadry kierowniczej Sp\u00f3\u0142ki. Informacje \u2013 notatki, o pracownikach by\u0142y sporz\u0105dzane z du\u017c\u0105 szczeg\u00f3\u0142owo\u015bci\u0105 i przechowywane przez bardzo d\u0142ugi okres. Co istotne, zebrane informacje by\u0142y wykorzystywane z jednej strony do skrupulatnej oceny wydajno\u015bci danego pracownika, z drugiej za\u015b do tworzenia szczeg\u00f3\u0142owego profilu pracownika, przydatnego do podejmowania decyzji dotycz\u0105cych zatrudnienia. Sp\u00f3\u0142ka swoim dzia\u0142aniem naruszy\u0142a art. 5 i art. 6 RODO, w zakresie braku podstawy prawnej przetwarzania danych osobowych. Organ nadzoru uzna\u0142, \u017ce dosz\u0142o do szczeg\u00f3lnie powa\u017cnego naruszenia praw obywatelskich pracownik\u00f3w Sp\u00f3\u0142ki i na\u0142o\u017cy\u0142 na Sp\u00f3\u0142k\u0119 niebagateln\u0105 kar\u0119 w wysoko\u015bci 35.258.708 EUR.<\/p>\n<p>Publication: <a href=\"https:\/\/magazyn-odo.pl\/w-numerze\/\">https:\/\/magazyn-odo.pl\/w-numerze\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p><span class=\"excerpt-hellip\"> [\u2026]<\/span><\/p>\n","protected":false},"author":1,"featured_media":2277,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[51],"tags":[],"class_list":["post-2276","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-publications"],"_links":{"self":[{"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/posts\/2276","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/comments?post=2276"}],"version-history":[{"count":0,"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/posts\/2276\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/media\/2277"}],"wp:attachment":[{"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/media?parent=2276"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/categories?post=2276"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/tags?post=2276"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}