2021 m. balandžio 23 d. Ispanijos duomenų apsaugos priežiūros institucija skyrė 1 mln. EUR dydžio baudą kreditų reitingų agentūrai „Equifax“ dėl neteisėto viešai prieinamų duomenų tvarkymo, pažeidžiant duomenų kiekio mažinimo, tikslo apribojimo principus bei kitus Bendrojo duomenų apsaugos reglamento (BDAR) reikalavimus.
Priežiūros institucija ėmėsi veiksmų po to, kai gavo beveik 100 skundų dėl to, kad „Equifax“ be asmenų sutikimo skelbė jų kreditingumo duomenis iš viešai prieinamų šaltinių, kurie dažnai nebuvo tikslūs.
Priežiūros institucija nurodė „Equifax“ nustoti tvarkyti tokius asmens duomenis ir juos nedelsiant pašalinti. Visgi „Equifax“ šių duomenų nepašalino teikdama, kad šie duomenys yra viešai prieinami. Be to, šie duomenys esą reikalingi tenkinti įmonės teisėtą interesą, kad būtų tinkamai teikiamos „Equifax“ paslaugos dėl kreditų reitingų suformavimo, ataskaitų rengimo.
Priežiūros institucija nurodė, kad įmonė pažeidė BDAR straipsnius reglamentuojančius asmens duomenų tvarkymo teisėtumą ir teisinį pagrindą bei reikalavimą, kad asmens duomenys būtų tikslūs ir tvarkoma būtų tiek duomenų, kiek reikia konkrečiam tikslui pasiekti, o taip pat pažeidė BDAR reikalavimus dėl informacijos pateikimo duomenų subjektui, kai asmens duomenys yra gauti ne iš duomenų subjekto.
Ko galime pasimokyti?
BDAR įtvirtina esminius principus, kurių turi būti laikomasi tvarkant asmens duomenis. Šiuo atveju nepriklausomai nuo to, ar tie asmens duomenys yra vieši, juos tvarkant turi būti laikomasi BDAR reikalavimų.
Duomenų tvarkymo teisėtumas
Asmens duomenų prieinamumas viešai negali būti pagrindas tvarkyti šiuos duomenis nesilaikant BDAR reikalavimų ar laikytis jų mažesne apimtimi. Duomenų viešumas ir duomenų valdytojo teisėti interesai savaime nesudaro pagrindo viešus duomenis paimti ir tvarkyti savo tikslams, nevertinant duomenų subjektų teisėtų interesų ir lūkesčių.
„Equifax“ atveju nebuvo jokio tarpusavio ryšio tarp viešai paskelbtų duomenų tvarkymo tikslų bei „Equifax“ tikslų, dėl kurių įmonė tvarkė šiuos duomenis, o taip pat nėra nustatyta, kodėl duomenų subjektai galėjo tikėtis, kad šie duomenys būtų tvarkomi bei skelbiami be jų žinios ar sutikimo.
Duomenų tikslumas
Duomenų valdytojai turi užtikrinti tvarkomų asmens duomenų tikslumą, o jei to užtikrinti negali – turi būti imamasi visų pagrįstų priemonių siekiant užtikrinti, kad tokių asmens duomenų tvarkymas būtų apribotas iki kol bus pašalintos priežastys, dėl kurių šie asmens duomenys negali būti tvarkomi.
„Equifax“ šiuo atveju nesiėmė jokių veiksmų patikrinti jų tvarkomų asmens duomenų tikslumą bei aktualumą, dėl to, Ispanijos duomenų apsaugos priežiūros nuomone, tvarkant tokius asmens duomenis „Equifax“ negali pagrįsti bei tinkamai įgyvendinti tikslų, kuriais argumentavo tokių duomenų tvarkymą.
Duomenų subjekto informavimas
Duomenų valdytojai turi ne tik viduje tinkamai organizuoti asmens duomenų tvarkymą, bet ir užtikrinti, kad duomenų subjektai būtų informuoti apie jų tvarkomus asmens duomenis. Tas faktas, kad asmens duomenys yra viešai paskelbti, neatleidžia duomenų valdytojų nuo pareigos informuoti duomenų subjektus apie jų asmens duomenų tvarkymą pagal BDAR 14 str. reikalavimus, kai asmens duomenis yra gauti ne iš pačių duomenų subjektų.
„Equifax“ atveju, Ispanijos duomenų apsaugos priežiūros institucija nurodė, kad „Equifax“ neinfomavo duomenų subjektų apie jų asmens duomenų tvarkymą.
Norėdami gauti daugiau informacijos ar konsultaciją, susijusią su duomenų apsauga, kviečiame konsultuotis su ECOVIS ProventusLaw specialistais.
Parengė ECOVIS ProventusLaw teisininkas Andrius Karmonas