Datatilsynet, duński organ nadzorczy ds. ochrony danych osobowych, zgłosił na policję informację o naruszeniu przepisów RODO przez firmę rekrutacyjną JobTeam A/S.  Jaka była przyczyna?

 

JobTeam A/S otrzymał od osoby, której dane dotyczą, wniosek o dostęp do danych. Dane objęte wnioskiem podmiot usunął przed udzieleniem odpowiedzi osobie, która wniosek złożyła. Firma uniemożliwiła w ten sposób możliwość sprawdzenia, jak przetwarza dane osobowe, których dotyczył wniosek, w związku z czym duński organ nadzorczy wszczął wobec firmy rekrutacyjnej postępowanie.
W opinii Datatilsynet jest to naruszenie przepisów RODO, które powinno być ukarane karą pieniężną nie mniejszą niż 50 tysięcy DKK (nieco ponad 30 tysięcy zł). Zdaniem organu, naruszenie podstawowych zasad rozporządzenia ogólnego o ochronie danych powinno skutkować nałożeniem kary pieniężnej, przy czym kara powinna być skuteczna i odstraszająca, a jednocześnie proporcjonalna do zaistniałego czynu.

Czym jest prawo dostępu do danych?

Prawo dostępu do danych wynika z art. 15 RODO, zgodnie z którym jesteśmy uprawnieni do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe na nasz temat. Jest to więc zapewnienie przejrzystości na temat przetwarzania naszych danych.

Jeśli administrator przetwarza nasze dane, to jesteśmy uprawnieni do uzyskania dostępu do nich oraz pozyskania informacji o:

  1. celu przetwarzania danych,
  2. kategoriach danych, jakich dotyczy przetwarzanie,
  3. odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych,
  4. w miarę możliwości – o planowanym okresie przechowywania danych osobowych, a gdy nie jest to możliwe, o kryteriach ustalania tego okresu;
  5. prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania,
  6. prawie wniesienia skargi do organu nadzorczego,
  7. źródle danych osobowych, jeśli dane nie zostały zebrane od osoby, której dotyczą,
  8. zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą,
  9. jeśli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej – osoba, której dane dotyczą, ma także prawo zostać poinformowana o odpowiednich zabezpieczeniach związanych z przekazaniem.

Przysługuje nam także prawo do bezpłatnego otrzymania kopii danych osobowych podlegających przetwarzaniu.

Dlaczego zajmuje się tym policja?

W większości krajów w UE organ nadzorczy (w tym  UODO) może nakładać administracyjne kary pieniężne na podmioty, które dopuściły się naruszeń. W Danii istnieją odmienne zasady – organ po wyjaśnieniu sprawy kieruje ją na policję, a policja bada, czy rzeczywiście doszło do naruszenia przepisów oraz czy istnieje podstawa do wniesienia oskarżenia. Decyzję o ewentualnej karze pieniężnej ostatecznie podejmuje sąd. 

Więcej: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2020/maj/jobteam-indstillet-til-boede/

Radca prawny Małgorzata Topyła