Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Polecamy

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo
 

Tomasz Banyś (red.), Agnieszka Grzelak, Mirosław Gumularz, Katarzyna Witkowska-Nowakowska

Cena: 128,00 zł

Zamów

Polecamy

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami
 

Aleksandra Zomerska, Robert Brodzik, Michał Kluska

Cena: 128,00 zł

Zamów

Obowiązki ADO (cz. 2)

13-11-2020 Autor: Mateusz Kupiec

Administratorzy danych osobowych wciąż borykają się z licznymi problemami oraz wątpliwościami dotyczącymi spełnienia wszystkich wymogów, które stawia przed nimi prawodawca unijny w przepisach rodo. Sprawdźmy to na przykładzie decyzji poszczególnych organów nadzorczych.

 

Decyzja Commission Nationale de l'Informatique et des Libertés (CNIL) z 28 lipca 2020 r., nr SAN-2020-003


Francuski organ nadzorczy ukarał spółkę Spartoo SAS administracyjną karą pieniężną w wysokości 250 tys. euro za naruszenie przepisów rodo. W decyzji podkreślono, że Spartoo naruszył zasadę minimalizacji danych, przechowywał dane dłużej, niż było to niezbędne dla realizacji celów przetwarzania, a także nie zrealizował obowiązku informacyjnego z art. 13 rodo oraz nie podjął odpowiednich działań w celu zapewnienia bezpieczeństwa danych zgodnie z wymogami przewidzianymi w art. 32 rodo.


Spartoo zajmuje się sprzedażą butów online. Przedmiotem prowadzonej przez CNIL kontroli było przetwarzanie danych osobowych zarówno obecnych, jak i potencjalnych klientów spółki oraz nagrywanie rozmów telefonicznych między osobami fizycznymi a pracownikami obsługi klienta. Rozmowy miały być nagrywane w celach szkolenia pracowników Spartoo.


Po przeprowadzeniu czynności kontrolnych organ stwierdził, że systematyczne nagrywanie wszystkich rozmów telefonicznych odbieranych przez pracowników obsługi klienta jest nadmierne, ponieważ osoba odpowiedzialna za szkolenie pracowników słuchała zaledwie jednego nagrania pojedynczego pracownika w tygodniu. Zdaniem organu naruszeniem zasady minimalizacji było również rejestrowanie danych bankowych, ponieważ taka praktyka wykracza poza cel szkolenia pracowników.


CNIL zwrócił również uwagę na nieprawidłową retencję danych osobowych w Spartoo. Chociaż spółka wyznaczyła 5-letni okres przechowywania danych osobowych klientów oraz potencjalnych klientów, to w rzeczywistości przetwarzała ona dane osobowe ogromnej liczby użytkowników, którzy nie używali swoich kont na stronie internetowej Spartoo nawet od 10 lat. Niezależnie od tych ustaleń francuski organ nadzorczy uznał za zbyt długi 5-letni okres retencji informacji dotyczących potencjalnych klientów liczony od ich ostatniej aktywności np. otwarcia wiadomości e-mail zawierającej informację handlową. CNIL uznał również, że samo otwarcie takiej wiadomości nie jest jednoznaczne z wyrażeniem zainteresowania podmiotu danych produktami Spartoo. W ocenie organu spółka naruszyła również zasadę ograniczonego przechowywania przez to, że po upływie okresu retencji nie usuwała e-maili użytkowników oraz ich haseł, a jedynie szyfrowała je za pomocą funkcji skrótu SHA-256. W ocenie CNIL używanie funkcji skrótu SHA-256 nie jest wystarczającym uzasadnieniem dla przechowywania danych byłych klientów spółki w nieskończoność.


Odnośnie do obowiązku informacyjnego wobec osób, których dane dotyczą, CNIL skrytykował spółkę m.in. za brak poinformowania pracowników indywidualnie o tym, że ich rozmowy telefoniczne z klientami są nagrywane. Spartoo również zaniechał poinformowania samych klientów o tym, że część ich danych osobowych będzie przekazywana do Madagaskaru. Naruszenie art. 32 ust. 1 rodo przez spółkę w ocenie CNIL stanowiło to, że Spartoo pozwalał użytkownikom zakładającym konto na swojej stronie na ustanawianie zbyt słabych haseł, które nie chroniły przed atakami typu brute force. Zdaniem organu długość i złożoność hasła jest podstawowym kryterium dla oceny jego siły.

 

[...]

 

Autor zajmuje się ochroną danych osobowych; współpracował m.in. z kancelarią Traple Konarski Podrecki i Wspólnicy.

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.