Włoski organ ochrony danych (Garante per la Protezione dei Dati Personali) nałożył na UniCredit S.p.A. grzywnę w wysokości 70 000 EUR za wymaganie od osoby, której dane dotyczą, złożenia wniosku o dostęp za pośrednictwem wyznaczonego formularza oraz za nieudzielenie wszystkich informacji wymaganych na mocy art. 15 RODO.
Postępowanie skargowe
Pracownik (osoba, której dane dotyczą) wysłał pismo do swojego pracodawcy, Unicredit S.p.A. (administratora), korzystając z prawa dostępu. Administrator udzielił odpowiedzi, w której poprosił osobę, której dane dotyczą, o przesłanie żądania dostępu poprzez wypełnienie formularza dostępnego na stronie internetowej administratora. Pracownik nie odpowiedział ani nie wypełnił formularza na portalu, ale złożył skargę do włoskiego organu ochrony danych. Twierdził, że administrator nie przyznał mu prawa dostępu.
Administrator poinformował organ nadzorczy, że ze względu na brak wypełnienia wskazanego formularza na stronie, przez osobę którą dane dotyczą, uważał on, że osoba, której dane dotyczą, nie jest już zainteresowana skorzystaniem z prawa dostępu. Osoba, której dane dotyczą, twierdziła jednak, że administrator nie dostarczył wszystkich informacji wymaganych na podstawie art. 15 RODO.
Argumenty administratora
Administrator twierdził, że dostarczone informacje były wystarczające. Wnosił, że wniosek pracownika o „wszelkie informacje dotyczące przetwarzania danych osobowych” był oczywiście bezpodstawny i nadmierny. Administrator twierdził ponadto, że dostarczone informacje nie zawierają danych, które osoba, której dane dotyczą, nie mogła pobrać bezpośrednio z systemu administratora. Dodatkowo twierdził, że informacje, o które prosi pracownik, zostały już zawarte w oświadczeniu o ochronie prywatności dostępnym na stronie internetowej firmy.
Posłuchaj 23-go odcinka RODOłamacza – „Realizacja praw osób – dylematy administratora”
Forma złożenia wniosku
Organ ochrony danych w decyzji uznał, że administrator może korzystać z formularzy w ramach procedury odpowiedzi na żądanie osoby, której dane dotyczą. Wysłanie formularza nie może być jednak warunkiem koniecznym do skorzystania przez osobę, której dane dotyczą, z przysługujących jej praw. Administrator nadal miał obowiązek odpowiedzieć na żądanie przekazane przez osobę, której dane dotyczą, innymi sposobami. Ponadto organ ochrony danych zauważył, że przedmiotowy formularz nie obejmował pełnej treści prawa dostępu osoby, której dane dotyczą, zgodnie z art. 15 RODO.
O co można wnosić?
Organ nadzorczy odrzucił argument administratora, że wniosek osoby, której dane dotyczą, był oczywiście bezzasadny i nadmierny. Stwierdził, że art. 15 RODO nie przewiduje żadnych ograniczeń dotyczących danych osobowych, do których można uzyskać dostęp. Organ ochrony danych wyjaśnił również, że termin „nadmierny”, używany w RODO, zazwyczaj odnosi się do powtarzających się żądań.
Prawo dostępu, a OI
Organ ochrony danych wyjaśnił, że prawo do informacji i prawo dostępu są odrębne. Żądanie dostępu na podstawie art. 15 RODO nie jest spełnione tylko dlatego, że administrator dostarczył informacje na podstawie art. 13 i 14 podczas zbierania danych. Organ ochrony danych stwierdził, że informacje należy „zaktualizować i dostosować do operacji przetwarzania faktycznie przeprowadzonych w odniesieniu do osoby, której dane dotyczą, składającej wniosek”. W związku z tym powoływanie się podczas przetwarzania na swoją politykę prywatności nie byłoby wystarczające, chyba że informacja „dopasowana” jest tożsama z informacją „ogólną”.
Organ ochrony danych uznał, że administrator naruszył art. 5 ust. 1, art. 12 i art. 15 RODO i ukarał administratora grzywną w wysokości 70 000 euro.
Czas na nowy podcast Omni Modo! „Jak przystępnie udostępniać – czyli prawo dostępu do danych”
Treść decyzji w j. włoskim:
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9795350