Linie lotnicze z karą za niedotrzymanie terminu usunięcia danych osobowych
Węgierskie linie lotnicze ukarane zostały karą nagany za spóźnione usunięcie danych osobowych na żądanie. Realizacja żądania usunięcia danych powinna bowiem nastąpić bez zbędnej zwłoki. Przedłużenie tego terminu może nastąpić jedynie w określonych przypadkach
Opieszałość administratora w usunięciu danych osobowych
Jeden z klientów linii lotniczych zażądał usunięcia jego danych osobowych tj. adresu e-mail używanego przez linie w celach marketingu bezpośredniego a także o zaprzestanie wysyłania mu newsletterów. Administrator poinformował o usunięciu e-maila, jednak nadal wysyłał do klienta newslettery.
Samo usunięcie danych miało miejsce dopiero po 8 tygodniach od dnia zgłoszenia żądania.
Usunięcie danych osobowych na żądanie – w jakim terminie
Sprawa trafiła do węgierskiego organu nadzorczego, który stwierdził nieprawidłowości w realizacji praw podmiotów danych. Przede wszystkim wykryto naruszenie art. 12 ust. 3 RODO.
Zgodnie z art. 12 ust. 3 RODO administrator musi bez zbędnej zwłoki, ale nie później niż w terminie 1 miesiąca od otrzymania żądania – udzielić, której dane dotyczą, informacji o działaniach podjętych w związku z jej żądaniem np. usunięcia danych.
W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące - jedynie z uwagi na skomplikowany charakter żądania lub liczbę żądań. W takim przypadku w terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia.
Żądanie usunięcia danych można było zrealizować niezwłocznie
W ocenie węgierskiego organu nadzorczego żądanie skierowane do administratora nie było na tyle skomplikowane (chodziło o usunięcie pojedynczego adresu e-mail), by przekładać termin jego realizacji. Dlatego uznano, że linie lotnicze usunęły dane osobowe z opóźnieniem.
Naruszono zasadę privacy by design
Poza tym stwierdzono, że spółka nie przestrzegała zasady privacy by design. Mimo usunięcia adresu e-mail okazało się bowiem, że skarżący nadal otrzymywał newslettery od administratora (a zatem jego e-mail nadal widniał w bazie newsletterów) – przez 11 dni. To w ocenie węgierskiego organu nadzorczego oznaczało braki w zakresie wymogów ochrony danych w fazie projektowania.
- Czym zajmuje się kancelaria radcowska?
- Zgoda marketingowa – czy także od firmy lub instytucji
- Wpływ sztucznej inteligencji na ochronę danych osobowych
- Zgoda na przetwarzanie danych osobowych do celów reklamy behawioralnej – jak powinna wyglądać
- Organizacja konkursu dla uczniów – umowa powierzenia przetwarzania danych pomiędzy szkołą a organem prowadzącym
- Kara za przetwarzanie danych osobowych w rozmowach telefonicznych bez podstawy prawnej
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
