Nadzorna tijela ˝vole˝ provjeravati Pravila privatnosti. Jeste li Vi sigurni u sadržaj svojih?
U siječnju 2021. španjolsko nadzorno tijelo izreklo je dosad najveću novčanu kaznu prema GDPR-u. Španjolska banka CaixaBank kažnjena je sa šest milijuna eura zbog različitih kršenja odredbama GDPR-a, ponajviše onih koje se tiču transparentnosti.
CaixaBank je nova pravila o privatnosti svojim klijentima ˝dala˝ na prihvaćanje, sve kako bi omogućila prijenos njihovih osobnih podataka svim tvrtkama unutar grupe CaixaBank.
Pravila privatnosti, pružana putem različitih kanala i u različitim dokumentima, sadržajno su se razlikovala, korištena terminologija bila je neprecizna i nisu pružale dovoljno podataka o vrsti osobnih podataka niti o prirodi obrade.
Nadzorno tijelo uočilo je i nepravilnosti u vezi s navedenim pravnim osnovama za obradu, a smatralo je i da dio obrade nadilazi legitimne interese banke. Tamo gdje je bio potreban pristanak, ispitanici nisu imali mogućnost stvarno pristati na prijenos. Zahtjevi vezani uz GDPR u dijelu koji se odnosi na valjanost privole nisu bili ispunjeni. Nadzorno tijelo zaključilo je da je prijenos podataka između grupe CaixaBank nezakonit.
Miješate li vi legitimni interes i privolu? Imate li stavrno legitimni interes?
Ovaj slučaj ilustrira ključnu ulogu Pravila o privatnosti u domeni obavještavanja i pokazivanja usklađenosti zahtjeva GDPR-a s internim aktima koji se odnose na zaštitu podataka pojedine organizacije, a posebno korporativnog odnosa prema pravima ispitanika. Nije dovoljno samo imati Pravila o privatnosti, trebate biti sigurni da su ona u skladu sa standardom i zahtjevima GDPR-a koje očekuje nadzorno tijelo.
Što trebate provjeriti?
- Jesu li Politike (Pravila) privatnosti vaše organizacije dosljedne kada se pružaju putem različitih kanala i medija?
- Jesu li Politike (Pravila) privatnosti provjerene neovisno od onoga tko ih je napisao kako bi se osiguralo da je sav potreban sadržaj uključen i dio njih?
- Je li provjeren sveukupni učinak politike (pravila) privatnosti kako bi se osiguralo da se podaci obrađuju sukladno zahtjevima GDŠR-a, je li sadržaj jasan i sveobuhvatan?
- Jesu li pravni osnovi za obradu provjereni i ispravno pripisani svrhama obrade?
- Jesu li privole u skladu s GDPR zahtjevima za dobivanje valjane privole?
Naš pravni tim redovito provjerava Politike (Pravila) privatnosti naših klijenata, kao i druga ključna područja usklađenosti sa zahtjevima svih propisa zaštite podataka, pomažući im da uspostave okvir koji će im omogućiti odgovarajući stupanj dokazivosti sa zahtjevima GDPR-a.
Naš tim zna stavove našeg nadzornog tijela, ali i stranih, ovisno u kojoj zemlji poslujete.
Ako želite saznati više, kontaktirajte nas .