Η ουγγρική εποπτική αρχή υπενθυμίζει πως η διαβίβαση συνιστά επεξεργασία και πρέπει να έχει νόμιμη βάση
Ο καταγγέλλων πέταξε με μία από τις πτήσεις της εταιρείας. Υπέβαλε καταγγελία στην Εταιρεία στην οποία έδωσε και πληροφορίες σχετικά με την υγεία του. Το αεροπορικό εισιτήριο του καταγγέλλοντος είχε κλειστεί μέσω ταξιδιωτικού πρακτορείου.
Η Εταιρεία απέστειλε τις πληροφορίες της σχετικά με τον χειρισμό της καταγγελίας και τον κατάλογο των εγγράφων που απαιτούνται για τον χειρισμό της, καθώς και την ίδια την καταγγελία στη διεύθυνση ηλεκτρονικού ταχυδρομείου που χρησιμοποιήθηκε για την κράτηση του εισιτηρίου, οπότε τα δεδομένα του καταγγέλλοντος διαβιβάστηκαν σε τρίτον. Όταν ο καταγγέλλων έλαβε γνώση της διαβίβασης δεδομένων, ζήτησε ενημέρωση σχετικά με τη νομική βάση με την οποία η Εταιρεία διαβίβασε τα προσωπικά του δεδομένα σε τρίτους.
Η Εταιρεία ενημέρωσε εσφαλμένα τον καταγγέλλοντα σχετικά με τη διαβίβαση των προσωπικών του δεδομένων. Ο καταγγέλλων ισχυρίστηκε ότι τα προσωπικά του δεδομένα, συμπεριλαμβανομένων των δεδομένων υγείας του, διαβιβάστηκαν παράνομα από τον υπεύθυνο επεξεργασίας.
Διαπιστώσεις της εποπτικής αρχής
Η ουγγρική εποπτική αρχή διαπίστωσε ότι η διαβίβαση των προσωπικών δεδομένων του καταγγέλλοντος σε τρίτο μέρος αποτελούσε παραβίαση της προστασίας των δεδομένων. Η διαβίβαση ή κοινολόγηση προσωπικών δεδομένων συνιστά επίσης επεξεργασία, ως εκ τούτου μπορεί να είναι νόμιμη μόνο εάν έχει νομική βάση σύμφωνα με το άρθρο 6 παρ. 1 ΓΚΠΔ. Όταν η επεξεργασία περιλαμβάνει και ειδικές κατηγορίες δεδομένων, ο υπεύθυνος επεξεργασίας πρέπει να έχει νομική βάση σύμφωνα με το άρθρο 6 παρ. 1 ΓΚΠΔ, ενώ η επεξεργασία πρέπει επίσης να εμπίπτει σε μια από τις προϋποθέσεις που ορίζονται στο άρθρο 9 παρ.2 ΓΚΠΔ.
Η απάντηση της Εταιρείας στο αίτημα πρόσβασης περιείχε ανακριβείς, εσφαλμένες και παραπλανητικές πληροφορίες, καθώς ο υπάλληλός της ενημέρωσε τον Καταγγέλλοντα πως το ταξιδιωτικό πρακτορείο που είχε κάνει την κράτηση είχε δικαίωμα να συμμετάσχει στη διαδικασία εξέτασης καταγγελίας σχετικά με την πτήση, ενώ ο καταγγέλλων μπορούσε να ζητήσει να του αποσταλεί η επικοινωνία απευθείας.
Απόφαση
Η Εταιρεία παραβίασε το άρθρο 5 παρ.1στ’ ΓΚΠΔ, καθώς γνωστοποίησε χωρίς άδεια προσωπικά δεδομένα του καταγγέλλοντος – συμπεριλαμβανομένων των δεδομένων υγείας του – σε τρίτους.
Η Εταιρεία, λόγω αμέλειας του υπαλλήλου της, διαβίβασε παράνομα την καταγγελία, συμπεριλαμβανομένων των δεδομένων υγείας του καταγγέλλοντος, σε τρίτο φορέα, χωρίς κατάλληλη νομική βάση, κατά παράβαση του άρθρου 6 παρ. 1 και του άρθρου 9 παρ. 1 ΓΚΠΔ ως προς τα δεδομένα υγείας.
Η εταιρεία παραβίασε επίσης το άρθρο 15 παρ. 1 ΓΚΠΔ παραλείποντας να παράσχει πληροφορίες σχετικά με τη νομική βάση για τη διαβίβαση των δεδομένων του και παρέχοντας αντ’ αυτού εσφαλμένες πληροφορίες σχετικά με τη διαδικασία χειρισμού της καταγγελίας.
Λόγω των παραβάσεων αυτών, η ουγγρική απηύθυνε επίπληξη στην εταιρεία βάσει του άρθρου 58 παρ. 2β’ ΓΚΠΔ.