Linie lotnicze nie informują o usunięciu danych osobowych
Nie wystarczy samo usunięcie danych osobowych na żądanie. Administrator musi także poinformować podmiot danych o tym usunięciu. Brak takiej informacji sam w sobie stanowi naruszenie RODO i może skutkować administracyjną karą pieniężną, o czym przekonały się popularne węgierskie linie lotnicze. Sprawa ma także polski wątek.
Skarga polskiego klienta na linie lotnicze
Polski klient węgierskich linii lotniczych złożył skargę do Prezesa UODO w związku z niezrealizowaniem usunięcia danych z interfejsu internetowego administratora. Sprawa została następnie przekazana do węgierskiego organu nadzorczego. Ostatecznie okazało się, że konto z danymi osobowymi skarżącego zostało usunięte już 23 listopada 2018 r. Administrator nie poinformował jednak o tym skarżącego.
Brak informacji o usunięciu danych osobowych
W ocenie węgierskiego organu nadzorczego linie lotnicze naruszyły art. 12 ust. 3 RODO. Nie poinformował bowiem w wymaganym terminie podmiotu danych o działaniach podjętych w celu realizacji żądania.
Administrator musi udzielić informacji osobie, której dane dotyczą, o działaniach podjętych w celu realizacji jej praw np. usunięcia danych. Musi to uczynić bez zbędnej zwłoki, ale nie później niż w terminie 1 miesiąca od otrzymania żądania. W razie potrzeby termin ten można przedłużyć o kolejne 2 miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W takim przypadku w terminie miesiąca od otrzymania żądania administrator informuje podmiot danych o przedłużeniu terminu i jego przyczynach.
Linie lotnicze naruszyły regułę przejrzystości z RODO
Doszło także do naruszenia zasady przejrzystości. Skarżący nie mógł bowiem dowiedzieć się, jakie dodatkowe dane, w jakim celu i na jakiej podstawie prawnej oraz jak długo były przetwarzane przez linie lotnicze po usunięciu jego konta i znajdujących się tam danych.
Zdaniem węgierskiego organu nadzorczego dalsze przetwarzanie danych osobowych nie mogło być też uzasadnione konieczną realizacji zasady rozliczalności z art. 5 ust. 2 RODO (nie mogło być oparta na prawnie uzasadnionym interesie administratora danych). Nie uprawniały bowiem do tego wyniki testu równowagi RODO.
W związku z tymi naruszeniami na linie lotnicze nałożona została kara w wysokości 5 mln forintów (ok. 13 244 euro).
-
www.edpb.europa.eu
- Czym zajmuje się kancelaria radcowska?
- Zgoda marketingowa – czy także od firmy lub instytucji
- Wpływ sztucznej inteligencji na ochronę danych osobowych
- Zgoda na przetwarzanie danych osobowych do celów reklamy behawioralnej – jak powinna wyglądać
- Organizacja konkursu dla uczniów – umowa powierzenia przetwarzania danych pomiędzy szkołą a organem prowadzącym
- Kara za przetwarzanie danych osobowych w rozmowach telefonicznych bez podstawy prawnej
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
