Irska: Opomin za Microsoft Ireland Operations Ltd
Irski nadzorni organ izdal za Microsoft zaradi neustrezne obravnave zahteve po izbrisu, ki jo je podal posameznik.
Odločitev je bila sprejeta 15.11.2023
Posameznik je Microsoftu, upravljavcu, predložil zahtevo za izbris v skladu s 17. členom GDPR, da izbriše njegovo spletno mesto in drugo vsebino iz Microsoftovega iskalnika (Bing). Vendar je Microsoft to zavrnil s sklicem na javni interes.
Posameznik je nato vložil pritožbo pri bavarskem nadzornem organu, ki jo je posredoval irskemu nadzornemu organ (DPC) kot vodilnemu nadzornemu organu v skladu s členom 56 GDPR in sprožil mehanizem sodelovanja v skladu s členom 60 GDPR.
Posameznik je ponovno pisal Microsoftu in zahteval izbris vseh njegovih osebnih podatkov iz Microsoftovega iskalnika. Nato je Microsoft posamezniku odgovoril, da bo odstranil dva URL-ja, ne pa tudi ostalih, ker je trdil, da javni interes pretehta njegovo pravico do zasebnosti. Posameznik se je ponovno obrnil na Microsoft ter zahteval zaprtje Microsoftovega računa. Z nizom komunikacij z DPC je Microsoft končno odstranil tudi preostale URL-je posameznika, o čemer je DPC prek bavarskega nadzornega organa obvestil posameznika. Slednji je zavrnil sporazumno poravnavo, ki jo je nato predlagal bavarski nadzorni organ, saj je Microsoft vzel veliko časa za brisanje njegovih osebnih podatkov in se je bal morebitnega razkritja tretjim osebam.
Po še enem nizu izmenjav je DPC nadaljeval preiskavo, da bi presodil, ali je bilo Microsoftovo obravnavanje pritožnikovih zahtev za izbris v skladu s členoma 12 in 17 GDPR.
DPC je svojo preiskavo o zadevi začel 29. junija 2023 in v svoji odločitvi navedel:
na podlagi evidentirane dokumentacije je bilo jasno, da je Microsoft res obvestil posameznika, da ima možnost, da se obrne na nadzorni organ, ko je Microsoft zavrnil njegovo zahtevo za izbris. Vendar Microsoft posameznika v nobeni fazi komunikacije ni obvestil o njegovi pravici do pravnega sredstva, s čimer je kršil člen 12(4) GDPR;
Microsoft je tudi priznal, da bi moral nekatere URL-je odstraniti že na prvi stopnji, vendar tega ni storil. Microsoft je pričel ukrepati glede teh pritožb šele pozneje, torej ne brez nepotrebnega odlašanja, zato je Microsoft kršil 17. člen GDPR.
Na podlagi zgoraj navedenega je DPC opomnil Microsoft v skladu s členom 58(2)(b) GDPR in mu naročil, naj revidira svoje interne pravilnike in postopke, da prepreči tovrstne kršitve v prihodnosti.
Odločitev je v angleškem jeziku dostopna tukaj.
Vir: GDPRHub
