GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Kontrola sektorowa kończy się karą dla administratora

18 tys. euro kary za niewłączanie IOD w sprawy spółki

18 tys. euro kary za niewłączanie IOD w sprawy spółki

Organ nadzorczy ds. ochrony danych osobowych w Hamburgu (Hamburgische Beauftragte für Datenschutz und Informationsfreiheit), przeprowadził w zeszłym roku kontrolę sektorową w branży windykacji wierzytelności. Mimo, że efekty przeprowadzonych kontroli w większości okazały się zadowalające dla regulatora, nie obyło się bez kar. Jeden z kontrolowanych administratorów został bowiem ukarany znaczną karą pieniężną.

Wymagający rynek windykacji

Hamburg jest europejską stolicą sektora windykacji wierzytelności. Wiele firm z tego sektora ma tam swoje siedziby lub prowadzi działalność, co wiąże się również z większym zainteresowaniem i wyzwaniami dla lokalnego organu nadzorczego. Dane związane z zadłużeniem są bowiem danymi, których wyciek stwarza duże ryzyko naruszenia praw i wolności. Ponadto ich przetwarzanie ma bardzo dynamiczny charakter. Często wiąże się bowiem z wielokrotnym przesyłaniem danych między różnymi podmiotami.

Zwiększone zainteresowanie organu nadzorczego

Kierując się wyżej wymienionymi względami, regulator z Hamburga zdecydował pod koniec zeszłego roku o przeprowadzeniu szeregu kontroli obejmujących firmy działające na rynku windykacji wierzytelności. Przedsiębiorcy zostali zobowiązani do wypełnienia szczegółowych kwestionariuszy zawierających pytania na temat stosowanych przez nich procedur i do odpowiedniego udokumentowania złożonych wyjaśnień. U niektórych administratorów zostały również przeprowadzone kontrole w ich siedzibach.

Co do zasady pozytywne wyniki kontroli, jednak nie do końca

W ocenie organu nadzorczego, wnioski z kontroli sektorowej są pozytywne – regulator stwierdził bowiem, że w branży panuje wysoki poziom profesjonalizmu i standardów zabezpieczenia danych. Organ nadzorczy pochwalił kontrolowane firmy za otwartość na dialog i współpracę, które niewątpliwie mogą zaowocować w przyszłości dalszym podniesieniem standardów w zakresie ochrony danych.

Wśród kontrolowanych podmiotów znalazły się jednak również podmioty nieprzestrzegające odpowiednich standardów. Kontrola przeprowadzona u jednego z administratorów wykazała, że w jego bazach danych znajdowała się duża ilość danych osobowych, które były przetwarzane bez podstawy prawnej. Administrator ten miał przechowywać dane po upływie okresu retencji – w najbardziej skrajnych przypadkach, nawet pięć lat po upływie terminu, w którym dane powinny być usunięte. Za stwierdzone naruszenia, organ nadzorczy nałożył na administratora karę w wysokości 900 000 euro (ponad 3,8 miliona złotych). Ten przyznał się do niedopatrzeń i podjął współpracę z organem nadzorczym w celu ich usunięcia, co wpłynęło na wysokość kary.

Surowa kara za zagubienie pendrive-a z danymi osobowymi

Organ nadzorczy: niezbędna polityka retencji

Uzasadniając nałożoną karę, organ nadzorczy z Hamburga podkreślił, że niedopuszczalne jest, żeby firmy funkcjonujące w przemyśle cyfrowym, działały bez opracowania spójnych polityk usuwania danych. W ocenie regulatora, każda organizacja – zanim w ogóle zacznie zbierać dane osobowe – powinna przygotować i wdrożyć stosowne procedury, w tym m.in. dotyczące okresów retencji czy usuwania danych.

Źródło:

https://datenschutz-hamburg.de/news/branchenweite-schwerpunktpruefung-im-forderungsmanagement