Publikowanie danych abonentów w spisie numerów wymaga ich wyraźnej zgody — której nie zastępuje tryb opt-out (TSUE C-129/21)
W wydanym dziś orzeczeniu TSUE stwierdził, że publikowanie danych abonentów w spisie numerów wymaga wyrażenia przez nich jasnej i wyraźnej zgody, zaś ich przetwarzanie nie może nastąpić na zasadzie opt-out. Żądanie usunięcia numeru ze spisu abonentów jest tożsame z żądaniem usunięcia danych w rozumieniu RODO, zatem należy o nich powiadomić także inne podmioty, którym dane zostały upublicznione (wyrok Trybunału Sprawiedliwości UE z 27 października 2022 r. w/s Proximus, C-129/21). https://curia.europa.eu/juris/...
Sprawa dotyczyła belgijskiej firmy telekomunikacyjnej Proximus, która zajmuje się m.in. tworzeniem spisów abonentów i świadczeniem usługi biura numerów (www.1207.be i www.1307.be), w oparciu o dane użytkowników dostarczane przez operatorów (w modelu opt-out, tj. dane są domyślnie przekazywane, chyba że zainteresowany klient wyrazi sprzeciw). Pozyskane w ten sposób dane są także udostępniane innym podmiotom. W pewnym momencie doszło do sytuacji, iż jeden z abonentów sprzeciwił się przekazywaniu danych i umieszczaniu ich w spisie numerów, więc Proximus zaprzestał ich publikacji, jednak po jakimś czasie operator znów dostarczył informacje o tym kliencie, zatem znów pojawiły się w rejestrze.
Klient znów zażądał ich usunięcia, zatem usługodawca znów je usunął — i wyjaśnił, że skontaktował się z Góglem w celu usunięcia linków z wyszukiwarki prowadzących do usuniętych zasobów, a stosowne zastrzeżenie zostało także przesłane do podmiotów, którym dane zostały udostępnione.Abonent wniósł skargę do Gegevensbeschermingsautoriteit (belgijskiego urzędu ochrony danych osobowych), który stwierdził, iż zamieszczanie danych o abonentach w trybie opt-out jest sprzeczne z dyrektywą o prywatności i łączności elektronicznej, a więc narusza RODO i nałożył na Proximus karę w wysokości 20 tys. euro.
art. 12 ust. 2 dyrektywy 2002/58/WE dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej
Państwa Członkowskie zapewniają, że abonenci posiadają możliwość ustalenia czy ich dane osobowe znajdują się w publicznym spisie abonentów, a jeżeli tak, to które, w zakresie, w jakim te dane są niezbędne do celu spisu abonentów określonego przez dostawcę spisu abonentów i sprawdzania, poprawiania lub wycofywania tych danych. Zastrzeżenie numeru, sprawdzanie, poprawianie lub wycofywanie danych osobowych ze spisu abonentów jest wolne od opłat.
art. 17 ust. 2 rozporządzenia 679/2016 o ochronie danych osobowych
Jeżeli administrator upublicznił dane osobowe, a na mocy ust. 1 ma obowiązek usunąć te dane osobowe, to — biorąc pod uwagę dostępną technologię i koszt realizacji — podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.
Sprawa w trybie prejudycjalnym trafiła do TSUE, który stwierdził, że publikowanie danych abonentów spisie numerów telefonicznych wymaga wyrażenia przez zainteresowaną osobę wyraźnej zgody. Zgoda taka powinna być udzielona „w stylu” RODO, a więc musi opierać się na dobrowolnym, konkretnym, świadomym i jednoznacznym oświadczeniu woli i obejmuje dalsze przetwarzanie w tym samym celu przez kolejne biura numerów, którym udostępniono dane. Abonent musi mieć też zagwarantowane prawo zaprzestania publikacji swych danych w spisie numerów, a żądanie takie należy rozpatrywać jako skorzystanie z prawa do usunięcia danych osobowych — toteż po usunięciu danych administrator, który je upublicznił, powinien podjąć wszelkie rozsądne działania, by poinformować odbiorców — w tym wyszukiwarki internetowe — o konieczności zaprzestania ich przetwarzania. Wdrożenie takich środków technicznych i organizacyjnych mieści się w obowiązkach administratora związanych z ogólnym wymogiem przestrzegania przepisów o ochronie danych osobowych (art. 24 ust. 1 RODO).
Źródło https://czasopismo.legeartis.o...
Komentarze (1)
najlepsze
Abonent musi mieć zagwarantowane prawo zaprzestania publikacji swych danych w spisie numerów, a żądanie takie należy rozpatrywać jako skorzystanie z prawa do usunięcia danych osobowych — toteż po usunięciu danych administrator, który je upublicznił, powinien podjąć wszelkie rozsądne działania, by poinformować odbiorców — w tym wyszukiwarki internetowe — o konieczności zaprzestania ich przetwarzania. Wdrożenie takich środków technicznych i organizacyjnych mieści się w obowiązkach administratora związanych z ogólnym wymogiem przestrzegania przepisów