Z LEXTRA PRZY KAWIE O PRAWIE - Funkcjonowanie RODO w przedsiębiorstwie cz. XXIII

W ramach dzisiejszego spotkania „Z LEXTRA PRZY KAWIE O PRAWIE”,

FUNKCJONOWANIE RODO cz. XXIII

informujemy, o kolejnej nałożonej karze pieniężnej, tym razem za nieskuteczne próby usuwania danych osobowych

Administrator danych osobowych powinien przewidzieć w dokumentach wewnętrznych procedury związane z usuwaniem danych osobowych.  W procesie usuwania danych administrator powinien dokonać wyboru nieskutecznych środków technicznych i organizacyjnych zabezpieczających dalsze przetwarzanie danych osobowych przed ich udostępnieniem nieograniczonej liczbie osób. To administrator ponosi odpowiedzialność za przetwarzanie danych (w tym ich usuwanie), nawet, gdy wykonanie tych czynności zleci do wykonania podmiotowi trzeciemu.

Zgodnie z zasadą prawidłowości przetwarzania danych osobowych należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte.

Przetwarzanie danych osobowych musi być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów przetwarzania („minimalizacja danych”). Ograniczenie do danych niezbędnych oznacza takie ukształtowanie zakresu przetwarzania danych, aby przetwarzać tylko takie dane, bez których nie da się osiągnąć celu. Jeżeli administrator posiada szerszy zakres danych, to powinien usunąć dane, gdy nie posiada celu takiego przetwarzania ani podstawy prawnej do jego wykonywania.

Prezes UODO nałożył karę pieniężną na administratora danych osobowych, który w procesie przetwarzania na swojej stronie internetowej danych 585 osób, którym przyznano licencje sędziowskie w roku 2015, nie dopełnił ciążących na nim obowiązków przewidzianych w art.  5 ust. 1 lit. f, art. 32 ust. 1 lit. b i art. 32 ust. 2 RODO, w zakresie ich zabezpieczenia przed udostępnieniem nieokreślonej liczbie osób. W ocenie organu nadzorczego administrator podjął ograniczone działania w celu usunięcia naruszenia, które okazały się nieskuteczne. Administrator zlecił podmiotowi zewnętrznemu usunięcie naruszenia i nie dokonał weryfikacji podjętych przez niego działań. Na skutek powyższego dostęp do danych osobowych był nadal możliwy. Wprawdzie administrator sam dostrzegł swój błąd, czego dowodzi zgłoszenie naruszenia ochrony danych osobowych Prezesowi UODO, jednak fakt, iż próby jego usunięcia były nieskuteczne, przesądził o nałożeniu kary pieniężnej.

Treść decyzji dostępna jest pod linkiem: https://uodo.gov.pl/decyzje/ZSPR.440.43.2019

Decyzja jest ostateczna, ale strona ma jeszcze możliwość wniesienia skargi do Wojewódzkiego Sądu Administracyjnego.