AEPD nakłada karę na Techpump Solutions w wysokości 525 000 EURO za naruszenie przetwarzania danych
07/11/2022
Hiszpański Organ Ochrony Danych opublikował w dniu 31 października 2022 r. decyzję w sprawie o nr PS/00555/2021, mocą której nałożył na firmę Techpump Solutions karę pieniężną za naruszenie RODO tj.: art. 5 ust. 1 lit. a, art. 5 ust. 1 lit. b, art. ust. 1 lit. e, art. 6 ust. 1, art. 8, art. 12 ust. 1, art. 12 ust. 2, art. 13, art. 25 i 30 ust. 1 oraz art. 22 ust. 2 ustawy nr 34/2002 z dnia 11 lipca 2022 r. o usługach społeczeństwa informacyjnego i handlu elektronicznym („LSSI”). Postępowanie wszczęto wskutek zgłoszeń dotyczących możliwości przetwarzania danych osobowych dzieci poniżej 14 roku życia.
Techpump Solutions jest właścicielem różnych domen internetowych zawierających treści dla osób dorosłych. Uzyskiwanie dostępu do wybranych domen wiąże się z obowiązkiem podania swoich danych osobowych.
Działania Techpump Solutions S.L. nie były zgodne z Polityką Prywatności opublikowaną na stronach internetowych, których właścicielem była firma. Dochodziło do przekazywania danych osobowych spółkom powiązanym, podczas gdy zapisy Polityki Prywatności wskazywały, że taki proces nie zachodzi. W konsekwencji AEPD uznało, że Techpump Solutions naruszył art. 5 ust. 1 lit. a RODO.
Kolejnym powziętym ustaleniem było to, że Techpump Solutions bezterminowo przechowywał dane osobowe użytkowników stron internetowych, zaś ich usunięcie mogło nastąpić wyłącznie na wniosek internauty. Nie określając zakresu lub celu przetwarzania danych Techpump Solutions dopuścił się naruszenia art. 5 ust. 1 lit. b) i art. 5 ust. 1 lit. e RODO.
Nadto, Techpump Solutions pozyskiwał dane osobowe od użytkowników bez uprzedniego uzyskania ich zgody na przetwarzanie, w drodze wyraźnego i dobrowolnego potwierdzenia, w wyniku czego doszło do naruszenia art. 6 ust. 1 RODO.
Witryny Techmpump Solutions nie posiadały mechanizmów pozwalających na uzyskanie zgody przedstawiciela ustawowego lub opiekuna na dostęp do danej strony internetowej. W związku z brakiem takich zabezpieczeń doszło do naruszenia art. 8 RODO.
Informacje zawarte w Polityce Prywatności Techpump Solutions były podane wyłącznie w języku angielskim, podczas gdy język angielski nie jest językiem urzędowym w Hiszpanii. Organ uznał, że informacje o czynnościach przetwarzania nie zostały określone w sposób zrozumiały, jasny i prosty, co doprowadziło do naruszenia art. 12 ust. 1 RODO.
APED uznało, że wymóg podania danych osobowych, w tym informacji paszportowych, w celu realizacji praw osób, których dane dotyczą, stanowi naruszenie art. 12 ust. 2 RODO i to niezależnie od ewentualnych wątpliwości co do tożsamości osób, których dane dotyczą.
Informacje podane w Polityce Prywatności Techpump Solutions nie odpowiadały faktycznemu postępowaniu firmy z danymi osobowymi i nie pozwalały zainteresowanym dowiedzieć się, w jaki sposób przetwarzane są ich dane osobowe, co w konsekwencji doprowadziło do naruszenia art. 13 RODO.
Techpump Solutions przetwarzał dane osobowe użytkowników bez dokonania uprzedniej oceny zasadności i cyklu ich przetwarzania, a także bez uwzględnienia zasad określonych w art. 5 RODO, co dodatkowo spowodowało naruszenie art. 25 RODO.
W końcowych ustaleniach AEPD podkreśliło, że Techpump Solutions gromadzi dane osobowe, takie jak w szczególności adresy IP, bez uprzedniego wyjaśniania użytkownikom zasad ich przetwarzania również z powodu sprzecznej ze stanem faktycznym Polityki Prywatności. W związku z tym AEPD uznał, że Techpump Solutions naruszył art. 30 ust. 1 RODO, nie dostarczając dokładnego opisu kategorii przetwarzanych danych osobowych.
Dodatkowo, AEPD podkreślił, że Techpump Solutions nie dostarczył żadnych informacji na temat korzystania z plików cookie na swoich stronach internetowych, a także używał tzw. ścian cookie, które uniemożliwiały dostęp do stron internetowych i zmuszały użytkowników do zaakceptowania odpowiednich plików cookie, aby można było przejść dalej. W związku z tym AEPD uznał, że Techpump Solutions naruszył art. 22 ust. 2 LSSI, nie dostarczając użytkownikom jasnych i pełnych informacji na temat zapisywanych plików cookies.
W wyniku ww. naruszeń przepisów RODO i LSSI, AEPD nałożyła grzywnę w łącznej wysokości 525.000 euro.
AEPD nałożyła na Techpump Solutions dodatkowe sankcje, żądając wdrożenia środków naprawczych w ciągu jednego miesiąca od opublikowania decyzji oraz poinformowania AEPD o wdrożonych środkach w tym samym czasie.
Więcej: https://www.aepd.es/es/documento/ps-00555-2021.pdf
Jeżeli chcesz być informowany na bieżąco o naszych publikacjach dołącz do nas i polub nas na Facebooku https://www.facebook.com/odoserwis.pl.2016/
-----------------------------------------------------
Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl