BLOG

Dowiedz się co jest naprawdę ważne.

NEWS-y ze świata ODO – Hiszpania i kary.

przez

AEPD (Agencia Española de Protección de Datos czyli Hiszpańska Agencja Ochrony Danych) wydała w ostatnich dniach kilka mniej lub bardziej ciekawych kar/decyzji (poza karą dla Twittera – 30 tys. euro).

1.Equifax Iberica €75,000 – (https://www.aepd.es/es/documento/ps-00451-2019.pdf)

Osoba składająca skargę zażądała drogą elektroniczną usunięcia swoich danych z pliku Krajowego Stowarzyszenia Instytucji Kredytowych Finansowych („ASNEF”), Equifax Iberica odpowiedziała, że skorzystanie z prawa skarżącego było nadmierne i niczego nie usunęli. Zachowanie Equifax Iberica stanowiło naruszenie art. 6 ust. 1 lit. f RODO, oraz nie wypełnili obowiązku określonego w ichniejszej ustawie 3/2018 z 5 grudnia 2018 r. W sprawie ochrony danych osobowych i gwarancji praw cyfrowych, która przewiduje blokowanie danych przez 30 dni.

2.(https://www.aepd.es/es/documento/ps-00453-2019.pdf)

Zakończono/odwołano postępowanie przeciwko Telefónica Móviles España po tym, jak Telefonica zapłaciła €40,000. Postępowanie przeciwko Telefonice dotyczyło skargi, że dane powoda zostały wykorzystane do zarejestrowania fałszywych linii telefonicznych bez zgody powoda (jakby ktoś się na to w ogóle kiedykolwiek zgodził, gdyby mógł 😀 – przyp. autora). Hiszpańskie DPA uznało, że Telefonica naruszyła art. 6 ust. 1 RODO, przetwarzając dane osobowe poprzez włączenie ich do systemu informatycznego spółki bez zgody osoby fizycznej, a także nie dochowując należytej staranności przy przetwarzaniu danych osób trzecich.

3.Xfera Móviles €39,000 – (https://www.aepd.es/es/documento/ps-00033-2020.pdf)

Naruszenie art. 5 ust. 1 lit. f) RODO. Osoba fizyczna twierdziła, że otrzymała SMS od Xfera Móviles, informując o braku płatności i w konsekwencji zawieszeniu usługi w odniesieniu do konta innego klienta. Dochodzenie potwierdziło skargę i że zachowanie Xfery Móviles stanowi naruszenie art. 5 ust. 1 lit. f RODO. Nałożono grzywnę w wysokości €65,000, która została następnie obniżona do €39,000 w wyniku dobrowolnej zapłaty Xfery Móviles.

4.Glovoapp23 €25,000 – (https://www.aepd.es/es/documento/ps-00417-2019.pdf)

Naruszenie art. 37 RODO. Dwóch indywidualnych skarżących twierdziło, że Glovvoapp23 nie wyznaczył IOD, do którego mogliby kierować swoje wnioski. Glovoapp23 argumentował, że nie ma obowiązku wyznaczenia inspektora ochrony danych, ponieważ prowadzona działalność została zwolniona z obowiązku przewidzianego w art. 37 RODO, a także biorąc pod uwagę, że zadania IOD były wykonywane przez wewnętrzny „komitet ochrony danych”. Dodatkowo, strona internetowa Glovoapp23 nie zawierała żadnych informacji dotyczących IOD i komitetu.