Самый большой штраф за несоблюдение GDPR, наложенный AEPD

03 марта 2021

Ответственность за несоблюдение требований GDPR не избегает ни одна сфера бизнеса. Мы, в частности, можем наблюдать как контролирующие органы привлекают к ответственности как маленькие так и крупные предприятия, такие например как банки.

Нарушение GDPR и требований по информированию

В феврале 2021, Испанский контролирующий орган по защите данных (AEPD) наложил на банк, под названием CAIXABANK штраф в размере 6000000 EUR за незаконную обработку персональных данных клиентов (4000000 EUR) и неоказание достаточной информации по обработке персональных данных ( 2000000) ЕВРО).

AEPD считает, что документ, разработанный для обеспечения соответствия информации, не содержит достаточного количества информации о соответствующих категорий персональных данных, которые собираются и обрабатываются банком, а также информации о целях обработки, для которых предназначены персональные данные. Кроме этого, AEPD в своем решении отмечает, что в публичных документах банка не отображена информация о правовой основе для обработки, особенно в отношении деятельности по обработке, основанной на законных интересах компании.

Итак, AEPD пришел к выводу, что CAIXABANK нарушил:

статью 13 GDPR, где указывается, что если персональные данные относительно субъекта данных собирают от субъекта данных, контроллер должен в момент получения персональных данных, предоставить субъекту данных всю информацию, а именно информацию о: (a) лицо и контактные данные контроллера и, при необходимости, представителя контроллера; (B) контактные данные сотрудника по вопросам защиты данных, при необходимости; (C) цели обработки, для достижения которых назначена персональные данные, а также законодательную базу для обработки; (D) если обработка осуществляется на основании пункта (f) статьи 6 (1) GDPR, законные интересы контроллера или третьей стороны; (E) получатели или категории получателей персональных данных, при наличии; (F) при необходимости информацию о том, что контроллер намерен передать персональные данные в третью страну или международной организации, о наличии или отсутствии решения Комиссии о соответствующем уровне защиты персональных данных в стране, куда передаются персональные данные; (G) период хранения персональных данных, или, если это невозможно, — критерии определения такого периода; (H) существование права на запрос от контроллера по доступу к персональным данным и их исправления, стирания, ограничения обработки субъекте данных или на возражение против обработки, а также права на мобильность данных; (I) если обработка осуществляется на основании пункта (а) статьи 6 (1) или пункта (а) статьи 9 (2), — существование права на отзыв согласия в любой момент, без последствий для законности обработки, которое было основано на согласуется с ее отзыва; (J) право подавать жалобу в надзорного органа; (K) то, является ли предоставление персональных данных уставной или договорной требованием, или требованием, необходимым для заключения контракта, а также — обязан субъект данных предоставить персональные данные, и о возможных последствиях непредоставления таких данных; (L) наличие автоматизированного выработки и принятия решений, в том числе профайлинга, указанного в статье 22 (1) и (4) и, по крайней мере в таких случаях, достоверной информации о логике, значимость и предполагаемые последствия такой обработки для субъекта данных.

статью 14 GDPR, где указывается, что если персональные данные полученные не от субъекта данных, контроллер должен предоставить субъекту данных информацию, перечень которой содержится в статье 13 GDPR, исключая информации о том, является предоставление персональных данных уставной или договорной требованием, или требованием, необходимым для заключения контракта, а также — обязан субъект данных предоставить персональные данные, и о возможных последствиях непредоставления таких данных. При этом, контроллер дополнительно должен сообщить о категории соответствующих персональных данных и источники происхождения персональных данных, и, при необходимости, о том, поступили они из источников, доступных для общественности.

В соответствии со статьей 83 (5) b GDPR был наложен штраф в размере 2.000.000 EUR. Решая размер административного штрафа, AEPD учитывал, как отягчающие факторы, среди прочего, характер, тяжесть и продолжительность нарушения, неосторожное характер нарушения, взаимосвязь между деятельностью компании и обработкой персональных данных. Также был учтен размер компании и ее объем товарооборота банка.

Ненадлежащее получения согласия в соответствии с GDPR

С другой стороны, AEPD установила, что CAIXABANK не предоставил ни одного механизма сбора согласия субъекта данных, а также то, что согласие субъекта данных не соответствует всем элементам действительной согласия и что деятельность по обработке, основанной на законных интересах компании, а не достаточно обоснованной, особенно во взаимоотношениях между деятельностью компании и обработкой персональных данных.

Все эти заключения привели к тому, что AEPD констатировал нарушение статьи 6 GDPR, и в соответствии со статьей 83 (5) a GDPR наложил административный штраф на компанию в размере 4.000.000 EUR.

Определяя размер штрафа, AEPD учел некоторые отягчающие факторы, такие как характер, тяжесть и продолжительность нарушения, неосторожное характер нарушения, степень ответственности компании с учетом технических и организационных мероприятий, реализованных в соответствии со статьями 25 и 32 GDPR, и выгоду, полученную от нарушения. Были также учтены категории персонала