Španjolska banka kažnjena šest milijuna eura zbog kršenja GDPR-a u Pravilima privatnosti

Nadzorna tijela ˝vole˝ provjeravati Pravila privatnosti. Jeste li Vi sigurni u sadržaj svojih?

U siječnju 2021. španjolsko nadzorno tijelo izreklo je dosad najveću novčanu kaznu prema GDPR-u. Španjolska banka CaixaBank kažnjena je sa šest milijuna eura zbog različitih kršenja odredbama GDPR-a, ponajviše onih koje se tiču transparentnosti.

CaixaBank  je nova pravila o privatnosti svojim klijentima ˝dala˝ na prihvaćanje, sve kako bi omogućila prijenos njihovih osobnih podataka svim tvrtkama unutar grupe CaixaBank.

Pravila privatnosti, pružana putem različitih kanala i u različitim dokumentima, sadržajno su se razlikovala, korištena terminologija bila je neprecizna i nisu pružale dovoljno podataka o vrsti osobnih podataka niti o prirodi obrade.

Nadzorno tijelo uočilo je i nepravilnosti u vezi s navedenim pravnim osnovama za obradu, a smatralo je i da dio obrade nadilazi legitimne interese banke. Tamo gdje je bio potreban pristanak, ispitanici nisu imali mogućnost stvarno pristati na prijenos. Zahtjevi vezani uz GDPR u dijelu koji se odnosi na valjanost privole nisu bili ispunjeni. Nadzorno tijelo zaključilo je da je prijenos podataka između  grupe CaixaBank nezakonit.

Miješate li vi legitimni interes i privolu? Imate li stavrno legitimni interes?

Ovaj slučaj ilustrira ključnu ulogu Pravila o privatnosti u domeni obavještavanja i  pokazivanja usklađenosti zahtjeva GDPR-a s internim aktima koji se odnose na zaštitu podataka pojedine organizacije, a posebno korporativnog odnosa prema pravima ispitanika. Nije dovoljno samo imati Pravila o privatnosti, trebate biti sigurni da su ona u skladu sa standardom i zahtjevima GDPR-a koje očekuje nadzorno tijelo.

Što trebate provjeriti?

  1. Jesu li Politike (Pravila) privatnosti vaše organizacije dosljedne kada se pružaju putem različitih kanala i medija?
  2. Jesu li Politike (Pravila) privatnosti provjerene neovisno od onoga tko ih je napisao kako bi se osiguralo da je sav potreban sadržaj uključen i dio njih?
  3. Je li provjeren sveukupni učinak politike (pravila) privatnosti kako bi se osiguralo da se podaci obrađuju sukladno zahtjevima GDŠR-a, je li sadržaj jasan i sveobuhvatan?
  4. Jesu li pravni osnovi za obradu provjereni i ispravno pripisani svrhama obrade?
  5. Jesu li privole u skladu s GDPR zahtjevima za dobivanje valjane privole?

Naš pravni tim redovito provjerava Politike (Pravila) privatnosti naših klijenata, kao i druga ključna područja usklađenosti sa zahtjevima svih propisa zaštite podataka, pomažući im da uspostave okvir koji će im omogućiti odgovarajući stupanj dokazivosti sa zahtjevima GDPR-a.

Naš tim zna stavove našeg nadzornog tijela, ali i stranih, ovisno u kojoj zemlji poslujete.

Ako želite saznati više, kontaktirajte nas .