L’autorità danese per la protezione dei dati ha recentemente multato Sats ASA di dieci milioni di corone per aver violato il regolamento sulla protezione dei dati personali (GDPR). La decisione si basava solo su quattro denunce di privati.
La decisione fornisce informazioni importanti su come affrontare la regolamentazione, in particolare per quanto riguarda la trasparenza, l’accesso e la durata dell’archiviazione. E come non gestire i reclami.
Le denunce
I denuncianti hanno affermato che si sono verificate le seguenti violazioni:
- Accesso: Sats non è riuscito a fornire un accesso tempestivo e sufficientemente completo alle informazioni sui denuncianti dopo aver ricevuto le richieste.
- Trasparenza: Sats non ha fornito informazioni sufficienti sul trattamento dei suoi dati personali. Sia sulle finalità del trattamento che sui soggetti che hanno avuto accesso alle informazioni.
- Periodo di conservazione: Sats ha conservato i dati personali più a lungo di quanto necessario ai fini del trattamento.
- Base giuridica: Sats non disponeva di una base giuridica valida per il suo trattamento.
decisione
L’autorità norvegese per la protezione dei dati ha rilevato che Sats ha violato diverse disposizioni del GDPR, sia in termini di trasparenza, accesso, diritto alla cancellazione e motivi del trattamento. La decisione dimostra quanto sia importante per le aziende rispettare questi obblighi per garantire che le persone abbiano il controllo sui propri dati personali e siano in grado di esercitare i propri diritti.
Sats è stato lento e incompleto nel fornire informazioni
L’autorità norvegese per la protezione dei dati ha rilevato che Sats non ha risposto alle richieste di accesso ai dati personali dei denuncianti in modo tempestivo e conforme alla legge. I denuncianti non hanno ricevuto una copia dei loro dati, ma piuttosto informazioni sugli incidenti e un estratto dei termini e condizioni di Sats.
Il fatto che una delle richieste di accesso sia stata presentata appena un mese dopo l’entrata in vigore del GDPR non è stato evidenziato, in quanto la nostra violazione era in corso e il dovere di accesso non era un nuovo dovere nel GDPR.
Mancanza di trasparenza
L’autorità norvegese per la protezione dei dati ha rilevato che Sats non ha fornito informazioni sufficienti sul trattamento dei propri dati personali. In particolare, ciò valeva per le informazioni sulle finalità del trattamento, i destinatari delle informazioni e la base giuridica per la condivisione delle informazioni con terzi. Ciò significa che l’informativa sulla privacy in particolare ha fallito.
Per la conservazione a lungo termine
L’autorità norvegese per la protezione dei dati ha rilevato che Sats aveva conservato i dati personali dei denuncianti più a lungo di quanto necessario ai fini del trattamento. I dati sono stati conservati per cinque anni per garantire che i membri espulsi per due anni non rientrino più in palestra.
Il periodo di conservazione di 60 mesi, previsto nelle linee guida interne di Sats, è stato considerato “un periodo straordinariamente lungo” dall’Autorità norvegese per la protezione dei dati, e la durata non è stata dichiarata nelle regole di riservatezza.
Mancanza di base per il trattamento
Sats ha utilizzato due diverse basi per il trattamento, il consenso e la necessità per l’esecuzione di un contratto. Tuttavia, Sats non ha specificato a quali fini si applicassero le diverse basi giuridiche. In ogni caso, alcune parti del trattamento, come la storia della formazione, non erano necessarie per l’esecuzione del contratto. E il consenso non era valido perché inserito nelle condizioni generali e quindi non sufficientemente informato.
Perché una multa così alta?
Gli elementi di cui sopra, oltre al fatto che le informazioni mancanti e la base per l’elaborazione riguardavano tutti i 700.000 membri di Sats, spiegano la multa relativamente elevata. L’autorità danese per la protezione dei dati ha riscontrato che i seguenti punti pesano fortemente o moderatamente contro Sats:
- la durata
- gravità
- la sistematica delle fratture
- l’alto numero di persone colpite
- trascurare
- sensibilità informativa
- Incapacità di Sats di segnalare autonomamente le violazioni e di accogliere i denuncianti
Tuttavia, la multa di dieci milioni di corone rappresenta solo lo 0,9% del reddito di Sats per il 2021 e solo il 5% della multa massima possibile ai sensi del GDPR. L’autorità norvegese per la protezione dei dati ha tenuto conto della difficile situazione finanziaria di Sats.
Punti di apprendimento per altre aziende
La decisione dell’autorità norvegese per la protezione dei dati fornisce lezioni importanti per le aziende sull’importanza della conformità al GDPR.
Sulla base della decisione, tutte le società devono prendere nota:
- Rispondere tempestivamente e in modo completo alle richieste di accesso e cancellazione. I denuncianti difficilmente avrebbero potuto rivolgersi all’autorità norvegese per la protezione dei dati se fossero stati trattati bene in primo luogo.
- Scrivi un’informativa sulla privacy corretta e chiara che includa:
- chi sono i destinatari dei dati personali
- quale base di elaborazione si applica a quale tipo di elaborazione
- Non inserire testi di consenso in termini e condizioni
- Ridurre al minimo il trattamento dei dati; non troppi dati, memorizzati troppo a lungo.
- Non esagerare con la “necessità di eseguire un accordo” come base per il trattamento.
- Formare il personale per elaborare le richieste in modo rapido e corretto.
Leggi la decisione di 45 pagine del 6 febbraio 2023 in inglese qua.
Evil travel geek. Pensatore. Risolutore di problemi pluripremiato. Amante della pancetta. Lettore appassionato. Esperto televisivo devoto. Imprenditore
:quality(70)/cloudfront-eu-central-1.images.arcpublishing.com/mentormedier/VEIRTDHCM24DNCL3KSVROKI6ZE.jpg)