Жалба от Proximus предизвика промени в практиките по защита на личните данни в целия телекомуникационен сектор

Белгийският надзорен орган наложи 20 000 евро глоба, но последствията бяха неочаквани

Белгийският орган за защита на личните данни наложи глоба от 20 000 евро на телекомуникационния оператор Proximus за няколко нарушения на защитата на данните по време на обработката на лични данни с цел публикуване на обществени телефонни указатели.

Белгийският гражданин (ищецът) е поискал от Proximus, издателя на публичен телефонен указател, да не публикува личните му данни, както в неговия, така и в указатели на други издатели.

Proximus, като издател на собствен публичен телефонен указател, потвърдил пред ищеца, че повече няма да публикува личните му данни, а също така ще информира другите издатели да не публикуват личните данни на ищеца.

Няколко месеца по-късно обаче ищецът открива, че личните му данни са публикувани не само в телефонния указател на Proximus, но и в други издатели.

В последващата си кореспонденция с ищеца, Proximus също споменава, че е прехвърлил личните данни на ищеца на други издатели на публични телефонни указатели.

В Белгия съгласието за публикуване в публичен телефонен указател се дава в съответствие с разпоредбите на националното законодателство в областта на телекомуникациите. Тези разпоредби са националното прилагане на член 12 от Директивата за електронната поверителност. Въпреки че Директивата за електронната поверителност образува lex specialis по отношение на GDPR (като lex generalis), както е посочено в член 95 от GDPR, разпоредбите относно съгласието на GDPR остават приложими като предпоставки за законна обработка по отношение на съгласието в член 12 на Директивата за електронната поверителност.

Белгийският DPA поддържа следните тези:

– Proximus публикува свой собствен публичен телефонен указател и следователно трябва да се счита за администратор на няколко съответни дейности по обработка. Като такъв, той носи отговорност да приведе действителните дейности по обработка в съответствие с оттеглянето на съгласието на субекта на данни. Очевидно е, че Proximus не е предприел подходящите мерки, за да гарантира и да може да докаже, че личните данни на жалбоподателя не са били незаконно обработвани след оттеглянето на съгласието. По този начин Proximus не е изпълнил задълженията си (по подходящ начин) като администратор и следователно е нарушил член 6 от GDPR, във връзка с член 7 от GDPR, както и членове 24 и член 5.2 от GDPR.

– Proximus не е предоставил на субекта на данни прозрачна информация по време и след обработването на искането му, нито е улеснил по подходящ начин упражняването на правата му на субект на данни и следователно е нарушил член 12 и член 13 от GDPR.

Надзорният орган отбелязва в решението си за налагане на санкцията, че е нужно всички издатели на указатели да могат да реагират на искане на субект на данни до един месец и имат една година, за да направят това възможно.

 

Можете да споделите: