Udostępnianie danych osobowych pomiędzy powiązanymi spółkami nie jest wyłączone z regulacji RODO. Udostępnianie takich danych musi być oparte na jednej z podstaw z art. 6 lub 9 RODO. Brak takiej podstawy może skończyć się kara pieniężną, o czym w kwietniu 2024 r. dobitnie przekonała się czeska spółka.
Opracowanie: Michał Kowalski
Administrator przekazał dane osobowe użytkowników oferowanego przez siebie oprogramowania antywirusowego powiązanej ze sobą spółce. Jak ustalił czeski organ nadzorczy (SA), dane te zostały przekazane bez podstawy prawnej. Nielegalne przekazanie danych osobowych dotyczyło aż 100 mln użytkowników aplikacji. Przekazywane były dane dotyczące historii przeglądania stron internetowych.
W ocenie czeskiego organu nadzorczego historia przeglądania internetu może być uznana za dane osobowe.
Dane były poddane pseudonimizacji, a dzięki specjalnemu identyfikatorowi możliwe było ustalenie, kogo dotyczy historia przeglądania.
Przeczytaj także: Anonimizacja czy pseudonimizacja – które rozwiązanie zastosować
Tymczasem administrator wprowadzał użytkowników aplikacji w błąd, twierdząc, że administrator wprowadził w błąd swoich użytkowników, wskazując, że przekazywane dane są anonimowe i służą wyłącznie do statystycznej analizy trendów. Ciekawym wątkiem sprawy było to, że naruszenia dopuścił się administrator będący jednym z czołowych ekspertów w dziedzinie cyberbezpieczeństwa, oferujący oprogramowanie do ochrony danych i prywatności.
Decyzja czeskiego organu nadzorczego została zaskarżona do organu wyższej instancji. Ten jednak podtrzymał pierwotne rozstrzygnięcie. Na administratora nałożona została wysoka kara pieniężna w kwocie ok. 13,9 mln euro (351 mln koron czeskich).
Niewątpliwie wpływ na wysokość kary miała duża skala naruszenia.
uoou.gov.cz/media/rozhodnuti/rozhodnuti-predsedy/2024/uoou-0102520-121-aj.pdf
Z wideoszkolenia dowiesz się m.in.:
Szkolenie prowadzi Agnieszka Wachowska, radczyni prawna, Co-Managing Partners, Szefowa zespołu IT-Tech w TKP
© Portal Poradyodo.pl
