obowiązku administratora do wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających poinformowanie innych administratorów o cofnięciu przez osoby zainteresowane zgody na przetwarzanie ich danych osobowych
Spór, jak zazwyczaj, zaczął się od abonenta, który nie chciał, aby jego dane teleadresowe były publicznie dostępne. Proximus wskazał, że rozróżnia dane wprowadzane do bazy:
w jej bazach danych, a także w bazach danych osób trzecich, czyni się rozróżnienie między abonentami, których dane kontaktowe mają być umieszczane w spisach, a abonentami, których dane nie są w nich uwzględniane. Gdy dane kontaktowe mają być ujęte w spisie, odnośny parametr przypisany do rekordu abonenta przyjmuje wartość „NNNNN”. Gdy dane kontaktowe mają zostać pominięte, odnośny parametr przyjmuje wartość „XXXXX”.
Istotne w sprawie jest też to, że Skarżący jest abonentem korzystającym z usług telekomunikacyjnych świadczonych przez spółkę Telenet, czyli operatora telekomunikacyjnego działającego na rynku belgijskim. Spółka Telenet nie jest dostawcą spisów abonentów. Przekazuje ona dane kontaktowe swoich abonentów między innymi spółce Proximus.
Osoba, której dane dotyczą przekazała do Proximusa, w styczniu 2019 r., wniosek o nieumieszczanie jej danych w ogólnodostępnym spisie. Proximus jeszcze w tym samym miesiącu zmienił wartość parametru przypisanego do rekordu skarżącego z „NNNNN” na „XXXXX”.
Aktualności Plus 360 dni
599
PLN z VAT
Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
Fachowe i czytelne podsumowanie omawianego orzeczenia
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
PLN z VAT
Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Niestety 31 stycznia 2019 r. spółka Proximus otrzymała od spółki Telenet przekazywane rutynowo powiadomienie o aktualnych danych abonenckich. W tym powiadomieniu znajdowały się nowe dane kontaktowe skarżącego. Wskazano w nim również, że dane kontaktowe skarżącego mają zostać umieszczone w spisach abonentów („NNNNN”). Spółka Proximus automatycznie przetworzyła to powiadomienie. W rezultacie dane kontaktowe skarżącego stały się publicznie dostępne.
W dniu 14 sierpnia 2019 r. skarżący, ustaliwszy, że jego numer telefonu figuruje w elektronicznych spisach abonentów www.1207[.]be i www.1307[.[be oraz w szeregu innych elektronicznych spisów abonentów, skontaktował się ze spółką Proximus z wykorzystaniem formularza kontaktowego udostępnionego na stronie internetowej www.1207[.]be i zwrócił się do niej o „nieumieszczanie” jego numeru telefonu „na stronie www.1207[.]be”.
W tym samym dniu pracownik spółki Proximus wystosował do niego następującą odpowiedź: „Zgodnie ze złożonym wnioskiem usunęliśmy Twój wpis, co oznacza, że Twoje dane (numer telefonu, nazwisko, adres) nie będą już wykorzystywane na potrzeby spisów abonentów ani biur numerów. W przeciągu kilku dni Twoje dane przestaną być udostępniane na stronach www.1207[.]be i www.1307[.]be oraz w biurach numerów (1207, 1307). Skontaktujemy się także z firmą Google i poprosimy ją o usunięcie odpowiednich łączy do naszej strony internetowej. Zgodnie z obowiązującymi przepisami Twoje dane zostały też przekazane innym biurom numerów i spisom abonentów, których dostawcy zwrócili się do [spółki Proximus] o przekazywanie im danych abonenckich, mianowicie do serwisów www.wittegids.be, www.infobel[.]com, www.de1212[.]be i www.opendi.be. Informacja na temat złożonego przez Ciebie wniosku o zaprzestanie wykorzystywania Twoich danych zostanie podana do wiadomości tych podmiotów w przesyłanej im comiesięcznie aktualizacji”.
Skarżący złożył jednocześnie skargę do Gegevensbeschermingsautoriteit (organu ochrony danych, Belgia, zwanego dalej „OOD”). Zawierała ona następujące stwierdzenia: „Mimo złożonego przeze mnie na piśmie i jednoznacznie sformułowanego wniosku o nieumieszczanie mojego (nowego) numeru telefonu i moich danych w spisie »Witte Gids«, na stronie, dzisiaj, po odebraniu połączenia od firmy, która nie dysponuje moim numerem telefonu, [okazało się, że] mój numer telefonu został jednak udostępniony na stronach www.1207[.]be, www.1307[.]be, www.wittegids[.]be, www.infobel[.]be i www.de1212[.]be, a najprawdopodobniej także w odpowiednich telefonicznych biurach numerów 1207 i 1307 oraz w wersjach papierowych spisu »Witte Gids« i na stronie www.opendi[.]be.”.
W dniu 27 sierpnia 2019 r. służba pierwszego kontaktu OOD uznała tę skargę za dopuszczalną i przekazała ją do Geschillenkamer van de Gegevensbeschermingsautoriteit (izby ds. rozstrzygania sporów organu ochrony danych, Belgia, zwanej dalej „izbą ds. rozstrzygania sporów OOD”).
W dniu 30 lipca 2020 r. po przeprowadzeniu postępowania kontradyktoryjnego izba ds. rozstrzygania sporów wydała decyzję, w której nakazała spółce Proximus podjęcie środków naprawczych i nałożyła na nią karę w wysokości 20 000 EUR za naruszenie między innymi art. 6 RODO w związku z jego art. 7 oraz za naruszenie art. 5 ust. 2 tego rozporządzenia w związku z jego art. 24.
Aktualności Plus 360 dni
599
PLN z VAT
Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
Fachowe i czytelne podsumowanie omawianego orzeczenia
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia.Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.
W szczególności przede wszystkim nakazała spółce Proximus podjęcie odpowiednich i niezwłocznych działań w z związku z wycofaniem zgody przez odnośnego abonenta oraz zastosowanie się do żądań tego abonenta zmierzających do wykonania jego prawa usunięcia dotyczących go danych. Następnie nakazała ona Proximusowi podjęcie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia, by dokonywane przez nią przetwarzanie danych osobowych było zgodne z przepisami RODO. Wreszcie, nakazała ona Proximusowi zaprzestanie przekazywania tych danych niezgodnie z prawem innym dostawcom spisów abonentów.
Pierwsze pytanie dotyczyło tego jak należy interpretować art. 12 ust. 2 dyrektywy 2002/58/WE w związku z art. 2 lit. f) tej dyrektywy i art. 95 RODO w zakresie dopuszczenia, przez przepisy krajowe, wymogu zgody abonenta na publiczne udostępnienie danych w rozumieniu zgody przewidzianej w RODO (art. 4 pkt. 11).
W niniejszym przypadku spór w postępowaniu głównym toczy się wyłącznie pomiędzy osobą fizyczną i spółką, która nie jest jej operatorem usług telefonicznych, w przedmiocie sposobu, w jaki owa spółka przetwarzała dane osobowe tej osoby w związku z publikowaniem spisów abonentów.
Wymóg uzyskania zgody odnośnego abonenta na opublikowanie tych danych w spisach abonentów został potwierdzony w art. 12 ust. 3 dyrektywy 2002/58, zgodnie z którym państwa członkowskie mogą wymagać, aby dla jakiegokolwiek celu publicznego spisu abonentów innego niż przeszukiwanie danych kontaktowych osoby na podstawie jej nazwiska „wymagana była dodatkowa zgoda abonentów”.
i udzielił odpowiedzi na to pytanie wskazując, że:
art. 12 ust. 2 dyrektywy 2002/58 w związku z art. 2 akapit drugi lit. f) tej dyrektywy i z art. 95 RODO należy interpretować w ten sposób, że wymagana jest „zgoda”, w rozumieniu art. 4 pkt 11 RODO, abonenta operatora usług telefonicznych, aby dane osobowe tego abonenta zostały umieszczone w spisach abonentów publikowanych przez dostawców innych niż ten operator, przy czym zgoda ta może zostać udzielona bądź wspomnianemu operatorowi, bądź jednemu z tych dostawców.
Pytanie drugie dotyczyło ustalenia, czy art. 17 RODO należy interpretować w ten sposób, że złożone przez abonenta żądanie wycofania jego danych ze spisów abonentów stanowi skorzystanie z „prawa do usunięcia danych” w rozumieniu tego artykułu.
Tutaj Trybunał powiedział, że:
gdy abonent żąda, aby jego dane nie były już zawarte w spisie abonentów, wycofuje on swoją zgodę na opublikowanie tych danych. Na podstawie wycofania swojej zgody uzyskuje on, wobec braku innej podstawy prawnej takiego przetwarzania, prawo do żądania usunięcia jego danych osobowych z tego spisu abonentów na podstawie art. 17 ust. 1 lit. b) RODO lub, w przypadku gdy administrator nadal publikuje wspomniane dane w sposób niezgodny z prawem, na podstawie art. 17 ust. 1 lit. d) tego rozporządzenia.
w niniejszym zaś przypadku żądanie wycofania danych abonenta znajdujących się w spisie abonentów nie zmierza do zastąpienia nieprawidłowych danych danymi prawidłowymi ani do uzupełnienia niekompletnych danych, lecz do wycofania publikacji prawidłowych danych.
i udzielił nastepujące odpowiedzi:
art. 17 RODO należy interpretować w ten sposób, że złożone przez abonenta żądanie wycofania jego danych osobowych ze spisów abonentów stanowi skorzystanie z „prawa do usunięcia danych” w rozumieniu tego artykułu.
Aktualności Plus 360 dni
599
PLN z VAT
Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
Fachowe i czytelne podsumowanie omawianego orzeczenia
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
PLN z VAT
Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
W trzecim pytaniu Sądu Apelacyjnego w Brukseli chodziło o ustalenia, czy art. 5 ust. 2 i art. 24 RODO należy interpretować w ten sposób, że krajowy organ nadzorczy może wymagać, aby dostawca spisów abonentów, jako administrator, podjął odpowiednie środki techniczne i organizacyjne w celu poinformowania administratorów będących osobami trzecimi, mianowicie operatora usług telefonicznych, który przekazał mu dane osobowe swojego abonenta, a także innych dostawców spisu abonentów, którym sam dostarczył takie dane, o wycofaniu zgody tego abonenta.
W tym pytaniu Trybunał postawił sobie pytanie czy dostawca spisów abonentów, taki jak Proximus, gdy abonent operatora usług telefonicznych wycofuje swoją zgodę na bycie umieszczonym w spisach tego dostawcy, powinien nie tylko zaktualizować własną bazę danych w celu uwzględnienia tego wycofania, lecz musi również poinformować o owym wycofaniu operatora usług telefonicznych, który przekazał mu te dane, jak również innych dostawców spisów abonentów, którym sam przekazał takie dane.
Trybunał przygotowując odpowiedź na to pytanie wskazał, że:
rzecznik generalny w pkt 67 opinii, w art. 5 ust. 2 i art. 24 RODO nałożono na administratorów danych osobowych ogólne wymogi dotyczące rozliczalności i przestrzegania przepisów. W szczególności przepisy te wymagają od administratorów wprowadzenia odpowiednich środków mających na celu zapobieżenie ewentualnym naruszeniom uregulowań przewidzianych w RODO w celu zapewnienia prawa do ochrony danych.
W tym kontekście art. 19 RODO przewiduje w szczególności, że administrator informuje każdego odbiorcę, któremu ujawniono dane osobowe, o usunięciu danych osobowych dokonanym zgodnie z art. 17 ust. 1, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Skoro dostawca spisów abonentów może się powołać na zgodę na przetwarzanie danych wyrażoną przez abonenta wobec innego dostawcy lub wobec swojego operatora usług telefonicznych, to abonent, w celu wycofania swojej zgody, powinien móc zwrócić się do dowolnego dostawcy spisów abonentów lub do tego operatora w celu uzyskania wycofania swoich danych kontaktowych ze spisów abonentów publikowanych przez wszystkie osoby powołujące się na jednokrotne wyrażenie jego zgody.
art. 5 ust. 2 i art. 24 RODO należy interpretować w ten sposób, że krajowy organ nadzorczy może wymagać, aby dostawca spisów abonentów, jako administrator, podjął odpowiednie środki techniczne i organizacyjne w celu poinformowania administratorów będących osobami trzecimi, mianowicie operatora usług telefonicznych, który przekazał mu dane osobowe swojego abonenta, a także innych dostawców spisu abonentów, którym dostarczył takie dane, o wycofaniu zgody tego abonenta.
Przy czwartym pytaniu sąd odsyłający dąży w istocie do ustalenia, czy art. 17 ust. 2 RODO należy interpretować w ten sposób, że sprzeciwia się on temu, aby krajowy organ nadzorczy nakazał dostawcy spisu abonentów, od którego abonent operatora usług telefonicznych zażądał zaprzestania publikowania dotyczących go danych osobowych, aby podjął on rozsądne działania służące poinformowaniu dostawców wyszukiwarek internetowych o tym żądaniu usunięcia danych.
Każdy zdaje sobie sprawę z tego jak trudno zostać “zapomnianym” przez wyszukiwarkę internetową. Krajowy organ nadzorczy, w trakcie swojego postępowania, wskazał, że w drugim kwartale 2020 r. liczba dostawców wyszukiwarek internetowych działających w Belgii była ograniczona. W szczególności firma Google posiadała udział w rynku wynoszący 90%, jeśli chodzi o wyszukiwania dokonane na komputerach stacjonarnych, i 99%, jeśli chodzi o wyszukiwania dokonane na smartfonach i tabletach.
W związku z powyższym Trybunał jasno wskazał, że:
art. 17 ust. 2 RODO należy interpretować w ten sposób, że nie sprzeciwia się on temu, aby krajowy organ nadzorczy nakazał dostawcy spisów abonentów, od którego abonent operatora usług telefonicznych zażądał zaprzestania publikowania dotyczących go danych osobowych, aby podjął on „rozsądne działania”, w rozumieniu tego przepisu, służące poinformowaniu dostawców wyszukiwarek internetowych o tym żądaniu usunięcia danych.
Aktualności Plus 360 dni
599
PLN z VAT
Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
Fachowe i czytelne podsumowanie omawianego orzeczenia
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia.Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.
Judykatura.pl wykorzystuje jedynie niezbędne pliki cookies, gdyż jest to konieczne do dostarczenia usług świadczonych drogą elektroniczną, których od Nas żądasz.
W razie jakichkolwiek pytań czy wątpliwości w zakresie wykorzystywania plików cookies możesz się z nami skontaktować pod adresem e-mail: kontakt@judykatura.pl
Administratorem danych osobowych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP: 521-332-36-17. Dane osobowe będą przetwarzane w celu świadczenia usług na żądanie użytkownika serwisu. Każdej osobie przysługują odpowiednie prawa wynikające z RODO oraz prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Więcej informacji na temat przetwarzania danych osobowych znajduje się w Polityce prywatności.
Wykorzystujemy poniższe pliki cookies, gdyż jest to konieczne do dostarczenia usług świadczonych drogą elektroniczną, których od Nas żądasz.
Cele wykorzystywania tych rodzajów plików zostały wskazane obok ich nazwy:
woocommerce_cart_hash
woocommerce_items_in_cart
wp_woocommerce_session_
_ga_1WDWPC51SQ
Jeśli wyłączysz ten plik cookie, nie będziemy mogli zapisać twoich preferencji. Oznacza to, że za każdym razem, gdy odwiedzasz tę witrynę, będziesz musiał ponownie włączyć lub wyłączyć pliki cookie.
Polityka plików cookies
Ze wszystkich niezbędnym informacjami dotyczącymi wykorzystywania przez serwis Judykatura.pl plików cookies można zapoznać się w Polityce Prywatności.