Rumuński organ właściwy do spraw ochrony danych osobowych (Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal) nałożył karę na rumuńską instytucję finansową Viva Credit IFN S.A. z siedzibą w Bukareszcie. Wysokość kary nie jest zawrotna – 2000 euro (ok. 8800 zł) – niemniej interesujący jest powód jej nałożenia. Spółka została bowiem ukarana nie tyle za brak realizacji wniosku klienta o usunięcie jego danych osobowych, co za brak przekazania mu informacji o działaniach podjętych w związku z jego wnioskiem. Co ciekawe, jest to już 35 kara nałożona na administratorów przez rumuńskiego regulatora na podstawie RODO.
Skarga klienta
Postępowanie wyjaśniające w tej sprawie zostało wszczęte przez organ nadzorczy na skutek skargi klienta spółki. Skarżący zarzucił instytucji finansowej, że ta nie zrealizowała jego wniosku o usunięcie danych osobowych (art. 17 RODO). Organ nadzorczy ustalił jednak dodatkowo w toku postępowania wyjaśniającego, że spółka co prawda rozpatrzyła wniosek klienta o usunięcie jego danych osobowych, ale nie przekazała mu żadnych informacji o działaniach podjętych przez nią w związku z tym wnioskiem.
Trzeba poinformować
Zgodnie z RODO (art. 12 ust. 3 RODO), administrator bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z jej żądaniem realizacji określonych uprawnień, w tym m.in. prawa do usunięcia danych osobowych (art. 17 RODO). Unijny prawodawca dopuścił możliwość przedłużenia tego terminu o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę takich żądań. Administrator – w razie odroczenia realizacji wniosku – zobowiązany jest jednak poinformować o tym fakcie wnioskodawcę w terminie miesiąca od otrzymania żądania oraz podać mu przyczyny opóźnienia.
Jeżeli administrator z jakichś względów podjął decyzję, że nie podejmie on działań w związku z żądaniem osoby, której dane dotyczą, wówczas przepisy RODO (art. 12 ust. 4 RODO) nakazują mu niezwłocznie – jednak najpóźniej w terminie miesiąca od otrzymania żądania – poinformowanie wnioskodawcy o powodach niepodjęcia działań oraz możliwości wniesienia skargi do organu nadzorczego i skorzystania ze środków ochrony prawnej przed sądem.
Brak informacji o podjętych działaniach
Rumuński regulator uznał po przeprowadzeniu postępowania wyjaśniającego, że ukarana instytucja finansowa naruszyła wyżej wspomniane przepisy art. 12 ust. 3 i 4 RODO poprzez nieudzielenie wnioskodawcy żadnych informacji o działaniach podjętych w związku z jego żądaniem usunięcia danych osobowych (art. 17 RODO). W związku ze stwierdzonym naruszeniem, organ nadzorczy nałożył na spółkę karę pieniężną. Jednocześnie, skorzystał on w tej sprawie ze środka naprawczego wskazanego w art. 58 ust. 2 lit. d) RODO, nakazując ukaranemu podmiotowi udzielenie odpowiedzi wnioskodawcy na zgłoszone przez niego żądanie, w terminie 5 dni roboczych od dnia otrzymania decyzji w sprawie.
Trzeba uważać
Decyzja w tej sprawie powinna dać do myślenia administratorom. Wciąż spotkać się można w praktyce z licznymi uchybieniami w zakresie realizacji obowiązków w komunikacji z osobą, które były przedmiotem niniejszego postępowania. Jak widać z pozoru drobne uchybienie może jednak wiązać się z finansowymi konsekwencjami. Warto również zwrócić uwagę, że w tym postępowaniu organ nadzorczy nałożył karę administracyjną w indywidualnej sprawie skargowej, tj. oceniając kwestię naruszenia ochrony danych osobowych jedynie w sprawie Skarżącego. Jest to praktyka dotychczas nieznana dla polskiego Urzędu Ochrony Danych Osobowych (UODO), który wszystkie kary nałożył w postępowaniach wszczętych z urzędu, dotyczących szerszego kręgu osób, których dane dotyczyły.
Źródło:
