Найбільший штраф за недотримання GDPR, накладений AEPD

Відповідальності за недотримання вимог GDPR не уникає жодна сфера бізнесу. Ми, зокрема, можемо спостерігати як контролюючі органи притягують до відповідальності як маленькі так і великі підприємства, такі наприклад як банки.

Порушення GDPR та вимог з інформування

В лютому 2021 року, Іспанський контролюючий орган із захисту даних (AEPD) наклав на банк, під назвою  CAIXABANK,  штраф у розмірі 6 000 000 EUR за незаконну обробку персональних даних клієнтів (4 000 000 EUR) та ненадання достатньої інформації щодо обробки персональних даних (2 000 000) ЄВРО).

AEPD вважає, що документ, розроблений для забезпечення відповідності інформації, не містить достатньої кількості інформації щодо відповідних категорій персональних даних, які збираються та оброблюються банком, а також інформації про цілі обробки, для яких призначені персональні дані. Окрім цього, AEPD в своєму рішенні зазначає, що в публічних документах банку не відображено інформацію  про правову основу для обробки, особливо щодо діяльності з обробки, заснованої на законних інтересах компанії.

Отже, AEPD дійшов висновку, що CAIXABANK порушив:

• статтю 13 GDPR, де вказується, що якщо персональні дані щодо суб’єкта даних збирають від суб’єкта даних, контролер повинен, у момент отримання персональних даних, надати суб’єкту даних усю інформацію, а саме інформацію про: (a) особу та контактні дані контролера та, за необхідності, представника контролера; (b) контактні дані співробітника з питань захисту даних, за необхідності; (c) цілі опрацювання, для досягнення яких призначено персональні дані, а також законодавчу базу для опрацювання; (d) якщо опрацювання здійснюють на підставі пункту (f) статті 6(1) GDPR, законні інтереси контролера або третьої сторони; (e) одержувачі чи категорії одержувачів персональних даних, за наявності; (f) за необхідності, інформацію про те, що контролер має намір передати персональні дані до третьої країни чи міжнародної організації, про наявність чи відсутність рішення Комісії про відповідний рівень захисту персональних даних в країні, куди передаються персональні дані;  (g) період зберігання персональних даних, або, якщо це неможливо, — критерії визначення такого періоду; (h) існування права на запит від контролера щодо доступу до персональних даних і їх виправлення, стирання, обмеження опрацювання щодо суб’єкта даних або на заперечення проти опрацювання, а також права на мобільність даних; (i) якщо опрацювання здійснюють на підставі пункту (а) статті 6(1) або пункту (а) статті 9(2), — існування права на відкликання згоди в будь-який момент, без наслідків для законності опрацювання, що було засновано на згоді до її відкликання; (j) право подавати скаргу до наглядового органу; (k) те, чи є надання персональних даних статутною чи договірною вимогою, або вимогою, необхідною для укладення контракту, а також — чи зобов’язаний суб’єкт даних надати персональні дані, та про можливі наслідки ненадання таких даних; (l) наявність автоматизованого вироблення й ухвалення рішень, у тому числі профайлінгу, вказаного в статті 22(1) та (4) і, принаймні в таких випадках, достовірної інформації про логіку, значимість та передбачувані наслідки такого опрацювання для суб’єкта даних.

• статтю 14 GDPR, де вказується, що якщо персональні дані було отримано не від суб’єкта даних, контролер повинен надати суб’єкту даних інформацію, перелік якої міститься в статті 13 GDPR, за виключенням інформації про те, чи є надання персональних даних статутною чи договірною вимогою, або вимогою, необхідною для укладення контракту, а також — чи зобов’язаний суб’єкт даних надати персональні дані, та про можливі наслідки ненадання таких даних. При цьому, контролер додатково повинен повідомити про категорії відповідних персональних даних та джерела походження персональних даних, та, за необхідності, про те, чи надійшли вони з джерел, доступних для громадськості.

Відповідно до статті 83 (5) b GDPR було накладено штраф у розмірі 2.000.000 EUR. Вирішуючи розмір адміністративного штрафу, AEPD враховував, як обтяжуючі фактори, серед іншого, характер, тяжкість та тривалість порушення, необережний характер порушення, взаємозв’язок між діяльністю компанії та обробкою персональних даних. Також був врахований розмір компанії та її об’єм товарообігу банку.

Неналежне отримання згоди у відповідності з GDPR

З іншого боку, AEPD встановила, що CAIXABANK не надав жодного механізму збору згоди суб’єкта даних, а також те, що згода суб’єкта даних не відповідає всім елементам дійсної згоди та що діяльність з обробки, що ґрунтується на законних інтересах компанії, не є достатньо обґрунтованою, особливо у взаємовідносинах  між діяльністю компанії та обробкою персональних даних.

Всі ці заключення призвели до того, що AEPD констатував порушення статті 6 GDPR, і відповідно до статті 83 (5) a GDPR наклав адміністративний штраф на компанію у розмірі 4.000.000 EUR.

Визначаючи розмір штрафу, AEPD врахував деякі обтяжуючі чинники, такі як характер, тяжкість та тривалість порушення, необережний характер порушення, ступінь відповідальності компанії з урахуванням технічних та організаційних заходів, реалізованих відповідно до статей 25 та 32 GDPR, та вигоду, отриману від порушення.  Були також враховані категорії персональних даних, на яких вплинуло порушення, а також взаємозв’язок між діяльністю компанії та обробкою персональних даних.

Висновок

Підводячи підсумок, варто зазначити, що на додаток до адміністративного штрафу, найвищого коли-небудь накладеного іспанським контролюючим органом, AEPD наказав CAIXABANK привести свої операції з обробки у відповідність до статей 6, 13 та 14 GDPR протягом наступних шести місяців.

Накладення подібних штрафів стає більш буденним, а тенденція до збільшення штрафних санкцій залишається непохитною.

Саме тому, варто готувати свою компанію до майбутніх викликів та адаптувати її діяльність до вимог  GDPR вже сьогодні.