Kara za brak informacji o ustosunkowaniu się do żądania usunięcia danych
14.10.2020
Rumuński organ nadzorczy (Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal) nałożył kolejną karę za naruszenie przepisów RODO. Administrator wprawdzie podjął działania na żądanie podmiotu danych, jednak nie poinformował o tym wnioskodawcy, co stanowiło dla organu wystarczającą podstawę do nałożenia kary.
Kara administracyjna w wysokości 2000 euro została nałożona za naruszenie art. 12 ust. 3, art. 12 ust. 4 oraz art. 17 RODO.
Postępowanie zostało wszczęte przez właściwy organ nadzorczy wskutek skargi podmiotu danych, iż administrator nie ustosunkował się do żądania usunięcia danych na podstawie art. 17 RODO.
Organ nadzorczy stwierdził, że spółka wprawdzie podjęła działania na żądanie podmiotu danych, jednak nie poinformowała wnioskodawcy o fakcie rozpatrzenia żądania.
Zgodnie z art. 12 ust. 3 RODO administrator ma bez zbędnej zwłoki, jednak nie później niż miesiąc od otrzymania żądania podmiotu danych, poinformować o działaniach podjętych na żądanie podmiotu danych.
Warto mieć na uwadze, że prawa, które przysługują osobom w związku z przetwarzaniem ich danych osobowych, nie w każdych okolicznością mogą być zrealizowane. Przykładowo administrator nie musi usunąć danych po otrzymaniu żądania w przypadku, jeśli dane są w dalszym ciągu niezbędne do realizacji celu przetwarzania, a dane nie są przetwarzane na podstawie zgody czy prawnie uzasadnionego interesu administratora.
Istotne jest, aby nawet w przypadku, gdy administrator uzna, że nie zachodzą podstawy do usunięcia danych na żądanie podmiotu danych, zostały przekazane wnioskodawcy informacje, że żądanie nie zostanie spełnione oraz na jakiej podstawie. Zgodnie z art. 12 ust. 4 RODO administrator ma miesiąc na przekazanie informacji o powodach niepodjęcia działań na żądanie osoby, której dane dotyczą oraz o możliwości wniesienia skargi do organu nadzorczego, a także skorzystania ze środków ochrony prawnej przed sądem.
Zamieszczamy poniżej przypomnienie o tym, kiedy przysługuje, a kiedy nie prawo do zapomnienia z art. 17 RODO.
Prawo do usunięcia danych przysługuje m.in. w następujących przypadkach:
- Dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub dla których są one w inny sposób przetwarzane.
- Osoba, której dane dotyczą, cofnęła zgodę i nie ma innej podstawy prawnej przetwarzania.
- Osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania danych na potrzeby marketingu bezpośredniego.
- Osoba, której dane dotyczą, wniosła sprzeciw z przyczyn związanych z jej szczególną sytuacją wobec przetwarzania danych na podstawie prawnie uzasadnionego interesu, jeśli nie występują ważne prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.
- Dane osobowe były przetwarzane niezgodnie z prawem.
- Przepis prawa nakazuje usunięcie danych.
- Dane osobowe zostały zebrane na podstawie zgody w związku z oferowaniem usług społeczeństwa informacyjnego bezpośrednio dziecku.
Prawo do usunięcia danych nie przysługuje m.in. w zakresie w jakim przetwarzanie jest niezbędne:
- Do korzystania z prawa do wolności wypowiedzi i informacji.
- Do realizacji obowiązku prawnego.
- Z uwagi na realizację interesu publicznego w dziedzinie zdrowia publicznego.
- Do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, w określonych w RODO przypadkach.
- Do ustalenia, dochodzenia lub obrony roszczeń.
Źródło:
https://www.dataprotection.ro/index.jsp?page=Amenda_pentru_incalcarea_RGPD_Viva_Credit_IFN&lang=en
Z tej samej kategorii
Kategorie
