Islandzkie Ministerstwo Przemysłu i Innowacji (MII) ukarane za naruszenia ochrony danych osobowych

Islandzki urząd zajmujący się ochroną danych osobowych (Persónuvernd) nałożył kary administracyjne w wysokości 7,5 mln ISK (ok. 234 675 zł) na MII 4 mln ISK (ok. 125 160 zł) na firmę YAY ehf. za naruszenie szeregu przepisów RODO. W celu pobudzenia sektora turystycznego Ministerstwo zleciło Yay wydawanie cyfrowych bonów upominkowych dla wszystkich osób powyżej 18 roku życia zamieszkałych w Islandii, za pośrednictwem istniejącej już aplikacji opracowanej przez Yay. Persónuvernd otrzymał wiele skarg od osób, których dane dotyczą, ponieważ korzystanie z cyfrowych bonów wymagało podania wielu danych osobowych i uzyskania dostępu do telefonów użytkowników.
Ze względu na sytuację gospodarczą duży nacisk położono na szybkość zarówno w fazie projektowania, jak i wdrożenia aplikacji, co doprowadziło do niezgodnego z prawem, nadmiarowego gromadzenia znacznej ilości danych osobowych. Ponadto, naruszenie dotyczyło także warunków wyrażenia zgody na przetwarzanie danych osobowych, a informacje dotyczące przetwarzania danych osobowych przekazywane użytkownikom były nieadekwatne. W trakcie postępowania Persónuvernd zauważył, że MII (administrator) nie zawarł z Yay (podmiotem przetwarzającym) umowy powierzenia przetwarzania danych osobowych.
Podmioty uczestniczące w procesie przetwarzania postąpiły niezgodnie z zasadami privacy by design (prywatność w fazie projektowania) oraz privacy by default (domyślna ochrona danych) i nie zapewniły odpowiedniego poziomu ochrony danych osobowych. To cena za pośpiech w tworzeniu i wdrażaniu rozwiązań informatycznych.
Określając wysokość sankcji Persónuvernd wziął pod uwagę m.in. charakter i zakres przetwarzania, jak również wielokrotne naruszenia RODO jako okoliczności obciążające. Na złagodzenie wymiaru kary administracyjnej wpływ miał fakt, że Ministerstwo i Yay po wszczęciu postępowania zaktualizowały swoje procedury, zawarły umowę o przetwarzaniu danych i przekazały osobom, których dane dotyczą, informacje na temat przetwarzania danych.

NAJNOWSZE WPISY

ZNAJDŹ NAS