W wydanym dziś orzeczeniu TSUE stwierdził, że publikowanie danych abonentów w spisie numerów wymaga wyrażenia przez nich jasnej i wyraźnej zgody, zaś ich przetwarzanie nie może nastąpić na zasadzie opt-out. Żądanie usunięcia numeru ze spisu abonentów jest tożsame z żądaniem usunięcia danych w rozumieniu RODO, zatem należy o nich powiadomić także inne podmioty, którym dane zostały upublicznione.
wyrok Trybunału Sprawiedliwości UE z 27 października 2022 r. w/s Proximus (C-129/21)
1) (…) wymagana jest „zgoda”, w rozumieniu art. 4 pkt 11 RODO, abonenta operatora usług telefonicznych, aby dane osobowe tego abonenta zostały umieszczone w publicznie dostępnych spisach abonentów i usługach biura numerów, publikowanych przez dostawców innych niż ten operator, przy czym zgoda ta może zostać udzielona bądź wspomnianemu operatorowi, bądź jednemu z tych dostawców.
2) Złożone przez abonenta żądanie wycofania jego danych osobowych z publicznie dostępnych spisów abonentów, a także telefonicznych usług biura numerów stanowi skorzystanie z „prawa do usunięcia danych” w rozumieniu art. 17 RODO.
3) Krajowy organ nadzorczy może wymagać, aby dostawca publicznie dostępnych spisów abonentów i usług biura numerów, jako administrator, podjął odpowiednie środki techniczne i organizacyjne w celu poinformowania administratorów będących osobami trzecimi, mianowicie operatora usług telefonicznych, który przekazał mu dane osobowe swojego abonenta, a także innych dostawców publicznie dostępnych spisów abonentów i usług biura numerów, którym dostarczył takie dane, o wycofaniu zgody tego abonenta.
4) Krajowy organ nadzorczy [może nakazać] dostawcy publicznie dostępnych spisów abonentów i usług biura numerów, do którego zwrócono się o zaprzestanie publikowania danych określonej osoby, aby podjął on „rozsądne działania”, w rozumieniu tego przepisu, służące poinformowaniu dostawców wyszukiwarek internetowych o tym żądaniu usunięcia danych.
Sprawa dotyczyła belgijskiej firmy telekomunikacyjnej Proximus, która zajmuje się m.in. tworzeniem spisów abonentów i świadczeniem usługi biura numerów (www.1207.be i www.1307.be), w oparciu o dane użytkowników dostarczane przez operatorów (w modelu opt-out, tj. dane są domyślnie przekazywane, chyba że zainteresowany klient wyrazi sprzeciw). Pozyskane w ten sposób dane są także udostępniane innym podmiotom. W pewnym momencie doszło do sytuacji, iż jeden z abonentów sprzeciwił się przekazywaniu danych i umieszczaniu ich w spisie numerów, więc Proximus zaprzestał ich publikacji, jednak po jakimś czasie operator znów dostarczył informacje o tym kliencie, zatem znów pojawiły się w rejestrze.
Klient znów zażądał ich usunięcia, zatem usługodawca znów je usunął — i wyjaśnił, że skontaktował się z Góglem w celu usunięcia linków z wyszukiwarki prowadzących do usuniętych zasobów, a stosowne zastrzeżenie zostało także przesłane do podmiotów, którym dane zostały udostępnione.
Abonent wniósł skargę do Gegevensbeschermingsautoriteit (belgijskiego urzędu ochrony danych osobowych), który stwierdził, iż zamieszczanie danych o abonentach w trybie opt-out jest sprzeczne z dyrektywą o prywatności i łączności elektronicznej, a więc narusza RODO i nałożył na Proximus karę w wysokości 20 tys. euro.
art. 12 ust. 2 dyrektywy 2002/58/WE dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej
Państwa Członkowskie zapewniają, że abonenci posiadają możliwość ustalenia czy ich dane osobowe znajdują się w publicznym spisie abonentów, a jeżeli tak, to które, w zakresie, w jakim te dane są niezbędne do celu spisu abonentów określonego przez dostawcę spisu abonentów i sprawdzania, poprawiania lub wycofywania tych danych. Zastrzeżenie numeru, sprawdzanie, poprawianie lub wycofywanie danych osobowych ze spisu abonentów jest wolne od opłat.
art. 17 ust. 2 rozporządzenia 679/2016 o ochronie danych osobowych
Jeżeli administrator upublicznił dane osobowe, a na mocy ust. 1 ma obowiązek usunąć te dane osobowe, to — biorąc pod uwagę dostępną technologię i koszt realizacji — podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.
Sprawa w trybie prejudycjalnym trafiła do TSUE, który stwierdził, że publikowanie danych abonentów spisie numerów telefonicznych wymaga wyrażenia przez zainteresowaną osobę wyraźnej zgody. Zgoda taka powinna być udzielona „w stylu” RODO, a więc musi opierać się na dobrowolnym, konkretnym, świadomym i jednoznacznym oświadczeniu woli i obejmuje dalsze przetwarzanie w tym samym celu przez kolejne biura numerów, którym udostępniono dane. Abonent musi mieć też zagwarantowane prawo zaprzestania publikacji swych danych w spisie numerów, a żądanie takie należy rozpatrywać jako skorzystanie z prawa do usunięcia danych osobowych — toteż po usunięciu danych administrator, który je upublicznił, powinien podjąć wszelkie rozsądne działania, by poinformować odbiorców — w tym wyszukiwarki internetowe — o konieczności zaprzestania ich przetwarzania. Wdrożenie takich środków technicznych i organizacyjnych mieści się w obowiązkach administratora związanych z ogólnym wymogiem przestrzegania przepisów o ochronie danych osobowych (art. 24 ust. 1 RODO).
(ujęcie czysto ilustracyjne, fot. Olgierd Rudak, CC BY 2.0)