Należy niezwłocznie reagować na żądanie sprostowania danych osobowych
Brak reakcji na żądanie sprostowania danych osobowych może zakończyć się karą UODO. Upomnieniem za niespełnienie tego żądania ukarany został jeden z banków. Problemem było nie tylko niespełnienie żądania, ale też brak informacji na temat jego realizacji.
Nieprawidłowe imię klienta banku na potwierdzeniach przelewów
Małżonka osoby, której dane osobowe były przetwarzane przez bank, wystąpiła o ich sprostowanie w zakresie nieprawidłowego imienia. Błąd został wykryty na podstawie potwierdzeń przelewów, na których widniało nieprawidłowe imię podmiotu danych.
Brak reakcji na żądanie sprostowania danych osobowych ze strony banku
Bank nie zareagował jednak na wielokrotnie zgłaszane żądanie sprostowania danych osobowych. Żądania były zgłaszane wielokrotnie na przestrzeni kilku miesięcy, różnymi kanałami komunikacji. Niespełnione zostało także żądanie zgłoszone oficjalnie na podstawie art. 16 RODO, za pośrednictwem inspektora ochrony danych w banku. Bank deklarował bowiem, że sprostował nieprawidłowo podane imię wnioskodawcy, ale tak się nie stało.
Osoba, której dane dotyczą, może żądać od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe (art. 16 RODO). Żądanie takie stanowi przejaw zasady prawidłowości danych osobowych (art. 5 ust. 1 lit. d RODO).
Sprostowanie danych osobowych musi nastąpić niezwłocznie
W ostateczności więc klient banku wniósł skargę do Prezesa Urzędu Ochrony Danych Osobowych. Jak podkreślił Prezes UODO, żądanie sprostowania danych osobowych powinno nastąpić niezwłocznie – zarówno na żądanie podmiotu danych, jak i po wykryciu błędu z inicjatywy administratora. Tymczasem bank skorygował imię skarżącego dopiero po kilku miesiącach od dnia wniesienia skutecznego żądania sprostowania i już po wszczęciu postępowania przez Prezesa UODO.
Należy informować o realizacji żądania sprostowania danych osobowych
Bankowi zarzucono również brak informacji na temat realizacji żądania sprostowania danych osobowych. Zgodnie bowiem z art. 12 ust. 3 RODO administrator powinien informować podmiot danych informacji o działaniach podjętych w związku z żądaniem – bez zbędnej zwłoki, ale nie później niż w ciągu 1 miesiąca od otrzymania żądania.
To wszystko przełożyło się na karę upomnienia dla banku. Prezes UODO nie nałożył natomiast administracyjnej kary pieniężnej.
Żądanie sprostowania danych wyłącznie we własnym imieniu
Z drugiej strony organ nadzorczy wskazał, że wcześniejsze żądania sprostowania danych składane przez małżonka skarżącego nie były skuteczne. Z żądaniem sprostowania może bowiem wystąpić wyłącznie osoba, której dane dotyczą.
-
Biuletyn UODO (10/10/23)
- Pracownik w delegacji – jak wygląda przekazywanie jego danych osobowych do państwa trzeciego
- Mechanizmy dochodzenia roszczeń w związku z wdrożeniem ram ochrony danych UE - USA
- Upoważnienie do przetwarzania danych osobowych czy oświadczenie o poufności
- TSUE: Identyfikator personalizacji reklam zaliczany do danych osobowych według RODO
- Kara za przetwarzanie danych osobowych w rozmowach telefonicznych bez podstawy prawnej
- Zgoda marketingowa – czy także od firmy lub instytucji
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
