• Decyzja z dnia 8 lipca 2021

Organ: Państwowa Inspekcja Ochrony Danych (The State Data Protection Inspectorate)

Kraj: Litwa

Litwa: kara nałożona na klub sportowy za naruszenie RODO przy przetwarzaniu odcisków palców klientów i pracowników

Państwowa Inspekcja Ochrony Danych (SDPI) przeprowadziła postępowanie w sprawie przetwarzania danych biometrycznych w klubie sportowym i nałożyła na VS FITNESS UAB karę w wysokości 20 tys. euro za stwierdzone naruszenia ogólnego rozporządzenia o ochronie danych (RODO).

Po otrzymaniu zawiadomienia od osoby fizycznej, że w celu skorzystania z usług klubu sportowego należącego do spółki obowiązkowe jest skanowanie linii papilarnych, w ww. klubie sportowym i nie ma innych alternatywnych sposobów identyfikacji, SDPI przeprowadził kontrolę w związku z możliwym naruszeniem RODO.

Zgodnie z RODO dane biometryczne zaliczane są do szczególnej kategorii danych, których przetwarzanie co do zasady jest zabronione, z wyjątkiem warunków przewidzianych w art. 9 ust. 2 RODO. Spółka przetwarzała modele odcisków palców klientów na podstawie zgody osoby, której dane dotyczą, tj. na podstawie art. 9 ust. 2 lit. a RODO. SDPI zauważył, że jeśli administrator danych opiera się na zgodzie osoby, której dane dotyczą, jako warunku zgodnego z prawem przetwarzania danych, powinien zapewnić, że zgoda osoby, której dane dotyczą, spełnia określone warunki (dobrowolna konkretna, rozsądna, świadoma, jednoznaczna, możliwa do udowodnienia i wycofana zgoda). . Po przeprowadzeniu dochodzenia SDPI ustalił, że zgoda na przetwarzanie wzorów odcisków palców wyrażona przez klientów nie jest dobrowolna i nie spełnia innych wymogów ważnej zgody; dlatego SDPI zdecydowało, że firma niezgodnie z prawem przetwarza kody binarne odcisków palców klientów.

SDPI ustaliło także, że firma bezprawnie przetwarzała również odciski palców pracowników. SDPI wskazał, że co do zasady zgoda pracownika nie powinna być uznawana za adekwatny warunek przetwarzania danych osobowych ze względu na brak równowagi sił. Spółka nie określiła celu i podstawy prawnej przetwarzania danych biometrycznych pracowników do SDPI, nie przeprowadziła oceny wpływu na ochronę danych, nie wykazała konieczności i proporcjonalności przetwarzanie odcisków palców pracowników do SDPI. SDPI wskazał, że osoby, których dane dotyczą, mają prawo do uzyskania informacji o przetwarzaniu ich danych. Po przeprowadzeniu kontroli SDPI ustalił, że firma nie udziela osobom, których dane dotyczą, pełnych informacji wymaganych przez RODO.

Ponadto spółce wydano już instrukcję przetwarzania danych biometrycznych w innym należącym do niej klubie sportowym. Sugeruje to, że firma zdawała sobie sprawę, w jaki sposób należy zapewnić wymóg dobrowolności w odniesieniu do zgody klientów na przetwarzanie ich danych biometrycznych, że równoważna, opcjonalna alternatywa identyfikacji w klubach sportowych (bez stosowania binarnych kodów odcisków palców) powinna być oferowane. Ponadto z powyższego wynika, że ​​firma zdawała sobie sprawę z konieczności uregulowania możliwości wycofania się klienta ze swojego wzoru odcisku palca w dowolnym momencie.

Źródło:  https://edpb.europa.eu/news/national-news/2021/lithuanian-dpa-fine-imposed-sports-club-infringements-gdpr-processing_pl

• Decyzja z dnia 5 lipca 2021

Organ: Włoski organ nadzorczy (Garante per la protezione dei dati personali) 

Kraj: Włochy

Włochy: platforma w grupie Glovo z karą w wysokości 2,6 mln euro

Foodinho, spółka zależna GlovoApp23, będzie musiała zmienić sposób przetwarzania danych swoich kurierów za pośrednictwem platformy cyfrowej i zweryfikować, czy algorytmy wykorzystywane do rezerwacji i przydzielania zamówień jedzenia i innych produktów nie prowadzą do dyskryminacji. Spółka została również ukarana karą w wysokości 2,6 mln euro.

Firma nie poinformowała odpowiednio swoich pracowników o funkcjonowaniu systemu i nie wdrożyła odpowiednich zabezpieczeń w celu zapewnienia dokładności i uczciwości wyników algorytmicznych, które były wykorzystywane do oceny wydajności kurierów. Dodatkowo firma nie posiadała żadnych procedur egzekwowania prawa do uzyskania ingerencji człowieka, wyrażania swojego punktu widzenia i kwestionowania decyzji podejmowanych za pomocą tych algorytmów – co w niektórych przypadkach wiązało się z wykluczeniem z przydziałów pracy.

Źródło: https://edpb.europa.eu/news/national-news/2021/riders-italian-sa-says-no-algorithms-causing-discrimination-platform-glovo_pl

Źródło: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9677377

• Decyzja z dnia 29 czerwca 2021

Organ: Islandzki organ nadzorczy (The Icelandic Data Protection Authority )

Kraj: Islandia

Islandia: kara za przetwarzanie danych osobowych pracowników za pośrednictwem kamery monitoringu wizyjnego zainstalowanej w strefie dla pracowników

Islandzki organ nadzorczy nałożył karę pieniężną w wysokości 34 tys. euro na islandzką spółkę, która prowadzi lodziarnie.

Islandzki organ ochrony danych nałożył grzywnę na firmę prowadzącą lodziarnie za przetwarzanie danych osobowych pracowników za pomocą kamery wideo zainstalowanej w obszarze pracowniczym.

Jeden z nieletnich pracowników firmy złożył skargę do islandzkiego Urzędu Ochrony Danych na temat miejsca, w którym pracownicy przebierają się w strój roboczy, będącego pod stałym nadzorem wideo. Pracownik skarżył się również na nieotrzymywanie zawiadomienia lub informacji o inwigilacji oraz brak oznakowania i oznakowania.

Ze względów bezpieczeństwa w firmowej lodziarni zainstalowano pięć kamer monitorujących, które rejestrowały pracowników i klientów. Islandzki organ ochrony danych potwierdził w drodze kontroli, że pracownicy nie mieli dostępu do akceptowalnego miejsca do zmiany ubrań, które nie było pod nadzorem.

Islandzki organ ochrony danych stwierdził, że firma nie poinformowała swoich pracowników o danych osobowych gromadzonych za pośrednictwem systemu monitoringu wideo i przysługujących im prawach zgodnie z art. 13 RODO. Dodatkowo etykiety i znaki wskazujące na nadzór wideo w lodziarni okazały się niewystarczające zarówno w strefach pracowniczych, jak i w obszarze obsługi klienta. Spółka nie współpracowała również w pełni z organem nadzoru.

Jednym z istotnych czynników przy ustalaniu wysokości kary było stwierdzenie, że firma naruszała liczne przepisy islandzkiej ustawy nr 90/2018 o ochronie i przetwarzaniu danych osobowych oraz RODO. Ponadto podmiotami danych, których dotyczyły te naruszenia, w tym skarżący, w wielu przypadkach byli nieletni pracownicy, których dane osobowe zasługują na szczególną ochronę zgodnie z RODO. Uznano również, że pracodawcy mają obowiązek zapewnienia bezpiecznego miejsca pracy zgodnego z zasadami i przepisami wydanymi na mocy RODO.

Firma została poinstruowana, aby zatrzymać nadzór wideo obszaru pracownika i usunąć wszystkie nagrania z tej kamery. Firma została również poinstruowana, aby zaktualizować i wdrożyć procedury zapewniające pracownikom otrzymywanie wystarczających informacji na temat monitoringu wideo w lodziarni i przysługujących im praw.

Źródło:  https://edpb.europa.eu/news/national-news/2021/icelandic-dpa-has-fined-company-running-ice-cream-parlours-processing_pl

Źródło:  https://www.personuvernd.is/urlausnir/huppuis-ehf.-sektud-vegna-voktunar-med-eftirlitsmyndavelum-i-starfsmannarymi-1

• Decyzja z dnia 17 czerwca 2021

Organ: Krajowa Komisja Ochrony Informacji i Wolności (CNIL-Commission Nationale de l'Informatique et des Libertés)

Kraj: Francja

Francja: CNIL nakłada karę pieniężną w wysokości 500 tys. euro na BRICO PRIVÉ

CNIL ukarał firmę BRICO PRIVÉ za wysyłanie e-maili reklamowych bez zgody osób prywatnych oraz za nieprzestrzeganie kilku obowiązków wynikających z RODO.

Przedsiębiorstwo nie przestrzegało ustalonych przez siebie okresów przechowywania danych. W ten sposób zachowano dane ponad 16 tys. klientów, którzy nie złożyli zamówienia w ciągu ostatnich pięciu lat. To samo dotyczyło ponad 130 tys. osób, które nie logowały się na swoje konto klienta od pięciu lat.

Ponadto spółka nie przestrzegała obowiązku informacyjnego. Informacje udostępnione użytkownikom strony internetowej nie zawierały wszystkich elementów wymaganych przez RODO, zarówno w ogólnych warunkach sprzedaży, uwagach prawnych, jak i polityce przechowywania danych osobowych.

BRICO PRIVÉ nie wywiązało się także z obowiązku pełnego zastosowania się do otrzymanych wniosków o usunięcie danych, ponieważ nie usunęło danych osobowych klienta, który złożył wniosek (zachowując na przykład jego nazwisko, imię i adres e-mail). Przystąpiła jedynie do dezaktywacji dostępu do konta.

Spółka nie zapewniła bezpieczeństwa danych osobowych, dotyczących zastosowania silnego hasła przy zakładaniu konta na swojej stronie internetowej ani przy dostępie pracowników do oprogramowania do zarządzania relacjami z klientami.

Naruszenia dotyczyły także poszukiwań handlowych i plików cookie, niepodlegające współpracy europejskiej. Ponadto przedsiębiorstwo nie przestrzegało obowiązku uzyskania zgody osób fizycznych w celu prowadzenia poszukiwań handlowych drogą elektroniczną, które w tym przypadku art. L. 34-5 francuskiego kodeksu poczty i łączności elektronicznej (CPCE) przewiduje, że takie operacje wymagają uprzedniej zgody zainteresowanych osób.

Źródło:  https://www.cnil.fr/fr/sanction-de-500-000-euros-lencontre-de-la-societe-brico-prive

• Decyzja z dnia 15 czerwca 2021

Organ: Norweski Urząd Ochrony Danych (The Norwegian Data Protection Authority)

Kraj: Norwegia

Norwegia: gmina Oslo z karą w wysokości 40 tys. euro za upublicznienie dokumentów zawierających szczególne kategorie danych osobowych

Sprawa dotyczy informacji kadrowych, zamieszczonych na eInnsyn – serwisie publikacyjnym wspólnym dla władz centralnych i lokalnych. Publikacja zawierała szczególne kategorie danych osobowych, w tym informacje o stanie zdrowia osoby, której dane dotyczą. Organ nadzorczy uznał to za poważne naruszenie

Dokument ten był wezwaniem do stawiennictwa, przekazanym przez radcę miejskiego w formie papierowej, bez listu przewodniego, do Stałego Komitetu Finansowego Rady Miejskiej. Nakaz stawiennictwa nie został oznaczony przez radcę miejskiego jako „zwolniony z publicznego dostępu”. Pismo nie zostało zatem zwolnione z publicznego dostępu po rejestracji, a następnie nie zostało złożone w wewnętrznej części sprawy i archiwum ewidencji. Co więcej, pismo nie zostało wyłączone z publicznego dostępu przez urząd wykonawczy, a tym samym dopuszczone do publikacji. Dokument był dostępny publicznie przez 5 godzin, zanim został usunięty.

Źródło: https://edpb.europa.eu/news/national-news/2021/norwegian-dpa-municipality-oslo-fined_pl

• Decyzja z dnia 18 maja 2021

Organ: Hiszpański organ ochrony danych osobowych (AEPD- Agencia Española de Protección de Datos)

Kraj: Hiszpania

Hiszpania: 1,5 mln euro kary za dwa naruszenia

Hiszpański organ ochrony danych osobowych (AEPD) nałożył na EDP Comercializadora, S.A.U. karę pieniężną w wysokości 1,5 mln euro za dwa naruszenia RODO.

AAEPD uważa, że ​​EDP COMERCIALIZADORA, S.A.U nie podjęła środków technicznych i organizacyjnych w celu sprawdzenia, czy osoba korzystająca z usług w imieniu innej osoby fizycznej posiada uprawnienia do realizacji zamówienia. Nie podjęła również środków technicznych i organizacyjnych w celu sprawdzenia, czy działając w imieniu innej osoby fizycznej jest upoważniony przez tę osobę do wyrażenia zgody na inne przetwarzanie danych osobowych w jej imieniu.

Ponadto hiszpański organ uważa, że dokument mający na celu dostarczenie informacji osobom, których dane dotyczą, nie zapewnia wystarczających informacji na temat administratora danych, podstawy prawnej przetwarzania nieopartego na zgodzie, celów przetwarzania związanych z profilowaniem na podstawie prawnie uzasadnionego interesu, ani możliwości sprzeciwu wobec czynności przetwarzania, które administrator danych opiera na swoim prawnie uzasadnionym interesie.

Źródło:  https://edpb.europa.eu/news/national-news/2021/spanish-dpa-imposes-fine-1500000-euros-epd-comercializadora-sau-two_pl

Źródło:  https://www.aepd.es/es/documento/ps-00037-2020.pdf

• Decyzja z dnia 13 maja 2021

Organ: Norweski Urząd Ochrony Danych (The Norwegian Data Protection Authority)

Kraj: Norwegia

Norwegia: 25 tys. euro za nielegalne przesyłanie poczty elektronicznej pracownika

Firma została ukarana grzywną w wysokości 25 000 EUR (250 000 NOK) za nielegalne przesyłanie wiadomości e-mail pracownika. Nazwa firmy nie została ujawniona publicznie, aby chronić tożsamość jej pracowników.

Tłem sprawy jest skarga złożona przez kogoś, kto stwierdził, że jego pracodawca zaczął automatycznie przekazywać e-maile.

Pracodawca poprosił pracownika o ustawienie automatycznego przekierowania ze swojego konta e-mail na współdzielone firmowe konto e-mail. Miało to być ze względów operacyjnych.

Po zbadaniu sprawy norweski organ ochrony danych stwierdził, że firma nie ma podstawy prawnej do przesyłania wiadomości e-mail. Odbyło się to z naruszeniem przepisów dotyczących dostępu pracodawcy do kont e-mail i innych materiałów elektronicznych, oprócz wymogu podstawy prawnej wynikającej z RODO.

Firma nie opracowała również procedur dostępu do poczty elektronicznej. Organ Ochrony Danych wskazał, że usprawnienie procedur może zapobiec przyszłym przypadkom bezprawnego dostępu.

Na tej podstawie Urząd Ochrony Danych nakazał firmie usprawnić procedury kontroli wewnętrznej oraz wytyczne dotyczące dostępu do poczty pracowników. Ponadto przedsiębiorstwu nakazano zapłacić 250 000 NOK za monitorowanie konta e-mail skarżącego bez podstawy prawnej.

Źródło:  https://edpb.europa.eu/news/national-news/2021/norwegian-dpa-company-fined-illegal-forwarding-e-mail_pl

​​​

• Decyzja z dnia 12 maja 2021

Organ: Holenderski urząd ochrony danych osobowych (Autoriteit Persoonsgegevens)

Kraj: Holandia

Holandia: 525 tys. euro kary dla firmy, która m.in. publikowała dane klientów, nie pytając ich, czy tego chcą

Holenderski organ ochrony danych osobowych nałożył karę pieniężną w wysokości 525 tys. euro na stronę internetową Locatefamily.com, która publikuje adresy i numery telefonów osób, często bez ich wiedzy.

Strona wyświetla pełne adresy, a czasami również numery telefonów osób, które nie wiedzą, w jaki sposób ich dane się tam znalazły. Osoby te w żadnym przypadku nie udostępniły temu administratorowi swoich danych.

Locatefamily.com to międzynarodowa platforma, na której ludzie mogą wyszukiwać dane kontaktowe członków rodziny, z którymi utracili kontakt lub innych osób, z którymi chcieliby się skontaktować.

Każdy, kto chce usunąć swoje dane z tej strony, nie może tego łatwo zrobić, ponieważ Locatefamily.com nie ma przedstawiciela w UE. Tymczasem brak przedstawiciela w Unii stanowi naruszenie RODO (ogólnego rozporządzenia o ochronie danych) i jest powodem nałożenia kary pieniężnej.

Źródło:  https://edpb.europa.eu/news/national-news/2021/dutch-dpa-imposes-fine-eu525000-locatefamilycom_pl