Madžarska: Nezakoniti prenos podatkov
Madžarski nadzorni organ je ugotovil, da je letalska družba v okviru reševanja reklamacije posredovala osebne podatke pritožnika, vključno posebne vrste osebnih podatkov, tretji osebi brez pravne podlage
Novica je bila objavljena 7.12.2023
Prenos ali sporočanje osebnih podatkov prav tako predstavlja obdelavo in je torej lahko zakonito le, če ima pravno podlago v skladu s členom 6(1) GDPR. Kadar obdelava vključuje tudi posebne kategorije osebnih podatkov, mora imeti upravljavec pravno podlago v skladu s členom 6(1) GDPR in obdelava mora biti v skladu z eno od izjem določenih v člena 9(2) GDPR.
Pritožnik je bil potnik na enem od letov družbe. Na podjetje je vložil pritožbo, v kateri je navedel podatke o svojem zdravstvenem stanju. Pritožnikovo letalsko karto je rezervirala potovalna agencija. Družba je podatke o obravnavanju pritožbe, seznam potrebnih dokumentov za obravnavo pritožbe ter samo pritožbo poslala na elektronski naslov, s katerim je bila opravljena rezervacija vozovnice (agencija), tako da so bili podatki pritožnika preneseni na tretjo stranko. Potem ko je pritožnik izvedel za prenos podatkov, je zahteval informacijo o pravni podlagi, na kateri je družba posredovala njegove osebne podatke tretji osebi. Družba je pritožnika nepravilno obvestila o posredovanju njegovih osebnih podatkov. Pritožnik je trdil, da so bili njegovi osebni podatki, vključno z zdravstvenimi podatki, posredovani s strani upravljavca nezakonito.
Odgovor upravljavca na zahtevo za dostop je vseboval napačne, pomanjkljive in zavajajoče informacije, saj je uslužbenec upravljavca pritožnika napačno obvestil, da ima turistična agencija, ki je rezervirala let, pravico sodelovati v reklamacijskih postopkih v zvezi s potovanjem, medtem ko pritožnik lahko zahteva, da se sporočilo pošlje neposredno njemu.
Družba je kršila člen 5(1f) GDPR z nepooblaščenim razkritjem osebnih podatkov pritožnikov, vključno z zdravstvenimi podatki, tretji osebi.
Podjetje je zaradi malomarnosti svojega zaposlenega nezakonito posredovalo pritožbo pritožnika, vključno z njegovimi zdravstvenimi podatki, tretji osebi, brez ustrezne pravne podlage, v nasprotju s členom 6(1) in členom 9(1) GDPR v zvezi z do zdravstvenih podatkov.
Podjetje je kršilo tudi člen 15 (1) GDPR, ker ni posredovalo informacij o pravni podlagi za prenos njegovih podatkov, temveč je posredovalo napačne informacije o postopku obravnavanja pritožb.
Zaradi teh kršitev je madžarski nadzorni organ družbi izrekel opomnil na podlagi člena 58(2)(b) GDPR.
Dostop do novice tukaj
Vir: EDPB
Naslovna fotografija: RawPixel
