Amendă administrativă în valoare de 5 milioane de HUF aplicată de către Autoritatea Ungară pentru Protecția Datelor unei companii aeriene pentru încălcarea articolului 5, 6, 12 și 17 din GDPR
Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda administrativă în valoare de 5 milioane de HUF aplicată de către Autoritatea Ungară pentru Protecția Datelor (HU SA) unei companii aeriene pentru încălcarea art. 5 Principii legate de prelucrarea datelor cu caracter personal, art. 6 Legalitatea prelucrării, art. 12 Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor subiectului de date și art. 17 Dreptul la ștergerea datelor („dreptul de a fi uitat”) din GDPR.
Un subiect de date a depus o plângere la Autoritatea de supraveghere poloneză, în care a declarat că a solicitat operatorului de date să îi șteargă toate datele cu caracter personal în interfața online pusă la dispoziție de către acesta la data de 23 octombrie 2018.
S-a identificat că HU SA este Autoritatea de supraveghere principală (LSA) pentru operatorul de date, prin urmare cazul a fost transferat spre examinare ultimei. Pe baza declarației operatorului de date și a capturii de ecran realizate de acesta în partea relevantă a sistemului IT utilizat pentru administrarea cererilor de ștergere, operatorul de date a șters contul subiectului de date la 23 noiembrie 2018, dar nu l-a informat cu privire la aceasta înainte de 6 martie 2019.
În context, HU SA a constatat că operatorul de date a încălcat articolul 12 alineatul (3) din GDPR, deoarece nu a informat subiectul de date cu privire la măsurile luate în baza cererii lui în termenul stabilit. Totodată, acesta a încălcat principiul prelucrării transparente a datelor în conformitate cu articolul 5 alineatul (1) litera (a) din GDPR, deoarece subiectul de date nu a putut vedea ce date suplimentare, în ce scop, în baza cărui temei juridic și pentru cât timp au fost prelucrate de către operatorul de date în legătură cu aceasta, în urma ștergerii contului său și a datelor cu caracter personal aferente.
Pentru încălcarea descrisă mai sus, în temeiul articolului 83 alineatul (2) litera (i) din GDPR, HU SA a impus operatorului de date o amendă în valoare de 5 000 000 HUF, ceea ce reprezintă aproximativ 13 244 euro.
CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare.