Udostępnienie danych Bounty UK i zgodność z RODO

W

Wielkiej Brytanii Bounty jest znanym, ale nieco kontrowersyjnym dostawcą pakietów ciążowych i rodzicielskich, porad, aplikacji i zdjęć na oddziałach położniczych. W przeszłości krytykowali obawy dotyczące prywatności ze względu na swoją praktykę wysyłania przedstawicieli do pokoi nowych matek w celu sprzedaży pakietów obrazów. Teraz Bounty ma jeszcze większe kłopoty, tym razem ze względu na prywatność danych. Udostępnienie danych Bounty UK.

W tym miesiącu najlepsza brytyjska agencja ochrony danych, ICO, ogłosiła wyniki dochodzenia w sprawie praktyk udostępniania danych przez Bounty. Do 30 kwietnia ubiegłego roku, tuż przed wejściem w życie RODO, firma sprzedała 34,4 mln rekordów użytkowników firmom zewnętrznym, takim jak Equifax (o niesławnym naruszeniu danych), bez informowania osób, których dane dotyczą. Dane obejmowały nawet datę urodzenia i płeć noworodków. ICO ukarało grzywnę 400 000 funtów.

Ponieważ Bounty zakończył praktykę tuż przed datą rozpoczęcia RODO, praktyki naruszyły Ustawę o ochronie danych z 1998 r., A nie RODO. Fakt ten ograniczył możliwą grzywnę do 500 000 funtów. Grzywna RODO za podobne naruszenie mogła sięgnąć 17 milionów funtów (20 milionów euro).

Dyrektor dochodzeń ICO wydał zjadliwy zarzut firmy:

Liczba akt osobowych i osób, których to dotyczy, jest bezprecedensowa w historii dochodzeń ICO dotyczących branży pośrednictwa danych i powiązanych z nią organizacji.

Bounty nie były otwarte ani przejrzyste dla milionów ludzi, że ich dane osobowe mogą być przekazywane tak dużej liczbie organizacji. Jakakolwiek zgoda udzielona przez te osoby wyraźnie nie została poinformowana. Wydaje się, że działania Bounty były motywowane korzyściami finansowymi, biorąc pod uwagę, że udostępnianie danych było wówczas integralną częścią ich modelu biznesowego.

Takie nieostrożne udostępnianie danych prawdopodobnie spowodowało stres dla wielu osób, ponieważ nie wiedzieli, że ich dane osobowe były udostępniane wiele razy tak wielu organizacjom, w tym informacje o stanie ciąży i ich dzieciach.

Udostępnienie danych Bounty UK

Udostępnianie danych osobowych ludzi stronom trzecim nie jest z natury nieodłączne. Ale musisz zająć się tym we właściwy sposób. Poniżej znajdują się odpowiednie wymagania RODO, jeśli chcesz udostępniać dane osobowe użytkowników poza swoją organizacją.

Nadinterpretacja RODO: Zamawiając taksówkę, hasłem dla kierowcy nie może być już imię i nazwisko – w tej sytuacji obowiązują tylko 3 ostatnie cyfry naszego numeru telefonu.

Wyjaśnij jasno swoje zamiary

Ludzie mają prawo wiedzieć, w jaki sposób będą wykorzystywane ich dane osobowe. Artykuł 12 RODO wyjaśnia te wymagania. Informacje te muszą być „zwięzłą, przejrzystą, zrozumiałą i łatwo dostępną, przy użyciu jasnego i prostego języka, w szczególności w przypadku wszelkich informacji skierowanych konkretnie do dziecka”.

Musisz przekazać te informacje w momencie zbierania danych. W art. 13 wymieniono informacje, które należy podać i kiedy. Narzędziem do rozwiązania owego problemu, to program do RODO, który został opracowany przez specjalistów, dla specjalistów.

Musisz mieć podstawę prawną

Art. 6 i 7 RODO dotyczą legalnych podstaw przetwarzania danych osobowych. Najprawdopodobniej w przypadku sprzedaży danych użytkownika stronom trzecim podstawą prawną będzie zgoda, która wymaga dodatkowej ostrożności, aby zapewnić, że zgoda jest właściwie poszukiwana i udzielana swobodnie. Wcześniej szczegółowo wyjaśniliśmy wymagania dotyczące zgody RODO. Zobacz, jak kryptos72 spełnia konkretne artykuły RODO.

Może się to wydawać oczywiste, ale musisz uzyskać wyraźną zgodę na każde z działań przetwarzania, które zamierzasz wykonywać na danych osobowych. W przypadku Bounty firma udostępniła dane osobowe 39 organizacjom. Członkowie Bounty nie byli świadomi, że ich dane będą udostępniane tak wielu stronom trzecim. Narusza to ich możliwość korzystania z ich praw do prywatności danych, ponieważ nie wiedzieli, gdzie ich dane są przechowywane ani w jaki sposób są wykorzystywane.

Międzynarodowe transfery danych

Jeśli zamierzasz udostępniać informacje organizacjom w innych krajach, powoduje to dodatkowe obowiązki opisane w rozdziale 5 RODO. W szczególności: „Przekazywanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może mieć miejsce, jeżeli Komisja zdecyduje, że państwo trzecie, terytorium lub jeden lub więcej określonych sektorów w tym państwie trzecim lub dana organizacja międzynarodowa zapewnia odpowiedni poziom ochrony. ”