L’Autorità per la protezione dei dati ha ordinato a Nissan Nordic Europe Oy di correggere la propria politica relativa al diritto dell’interessato di accedere ai dati. Il titolare del trattamento non ha fornito i dati al cliente che aveva richiesto l’accesso ai propri dati personali entro il termine previsto dal Regolamento generale sulla protezione dei dati. Questa è la prima decisione dell’Autorità Finlandese per la Protezione dei Dati in un caso transfrontaliero in cui il trattamento dei dati personali riguarda interessati residenti in diversi paesi dell’UE.
Il titolare avrebbe fornito alla persona che ha avuto a che fare con il concessionario di automobili le informazioni da lui richieste entro il termine stabilito dal regolamento generale sulla protezione dei dati. Tuttavia, nessuna informazione è stata fornita, il che ha portato il cliente a presentare un reclamo all’autorità di controllo danese. A seguito del contatto con l’autorità di controllo danese, il titolare del trattamento ha dichiarato che avrebbe fornito le informazioni al cliente. Tuttavia, dopo due mesi, il cliente ha dichiarato di non aver ancora ricevuto le informazioni richieste.
Nissan Automotive Europe SAS ha sede in Francia, ma le decisioni sul trattamento dei dati personali contestati vengono prese presso Nissan Nordic Europe Oy. Nissan Nordic Europe Oy ha sede in Finlandia e opera in diversi paesi nordici e baltici. Poiché il trattamento dei dati personali relativi al caso è di competenza di un ufficio situato in Finlandia, l’autorità di controllo finlandese, ovvero l’Ufficio del Garante per la protezione dei dati, ha agito come l’autorità di controllo principale in materia.
Il diritto di accesso ai dati si applica anche alle registrazioni delle chiamate
Secondo i dati forniti dal titolare, le informazioni non erano state fornite al cliente entro la scadenza a causa di un errore umano. Le informazioni richieste sono state successivamente fornite al cliente, ad eccezione dei registri delle chiamate. Tuttavia, le informazioni non sono state fornite fino a quasi due anni dopo la richiesta.
Secondo l’Autorità, i registri delle chiamate non erano stati forniti perché la terza parte era stata identificabile da essi. Tuttavia, l’Autorità per la Protezione dei Dati aveva riservato al cliente la possibilità di recarsi in filiale per ascoltare le registrazioni delle telefonate che all’epoca erano ancora in suo possesso.
Tuttavia, l’Autorità ritiene che la prassi del titolare del trattamento nell’esercitare il diritto di ispezione per quanto riguarda le registrazioni delle chiamate non fosse in linea con il regolamento generale sulla protezione dei dati.
Il titolare del trattamento fornisce all’interessato una copia dei dati personali trattati. Una copia delle registrazioni delle chiamate può essere fornita in forma scritta, ad esempio ortografica o, a seconda dei casi, elettronicamente, come una registrazione.
Il titolare del trattamento può, se lo desidera, offrire all’interessato la possibilità di ascoltare la registrazione della chiamata, ma questo non può essere l’unico modo per esercitare il diritto di accesso.
Inoltre, l’Autorità per la Protezione dei Dati Finlandese sottolinea che le registrazioni delle chiamate in pratica includono sempre i dati personali di un’altra persona e ciò non può essere considerato un ostacolo all’esercizio di un diritto registrato.
L’Autorità per la Protezione dei Dati Finlandese ha emesso un’osservazione al titolare del trattamento in merito al trattamento dei dati personali in violazione del Regolamento generale sulla protezione dei dati, nonché un ordine di modifica delle sue procedure al fine di attuare il diritto registrato in conformità con la legislazione sulla protezione dei dati. Il titolare del trattamento ha dichiarato che indagherà sulla causa dell’errore e aggiornerà le sue procedure e istruzioni per l’esercizio del diritto di accesso.
La decisione non è ancora definitiva.
Päätös_4182.146.2019