Ispanijos bankas nubaustas už BDAR pažeidimus arba ar tikrai visada įmonės teisėtas interesas yra tinkamas pagrindas tvarkyti asmens duomenis?

Ispanijos duomenų apsaugos tarnyba (toliau – Tarnyba) skyrė 6 000 000 Eur baudą bankui CAIXABANK (toliau – Bankas) dėl to, kad pastarasis neužtikrino BDAR reikalavimų tinkamo laikymosi.

Kaip vienas iš pažeidimų buvo nurodytas BDAR 13 str. ir 14 str. netinkamas įgyvendinimas, t. y. Bankas  netinkamai pateikė savo klientams informaciją apie tai, kokie asmens duomenys yra tvarkomi, kokiais teisiniais pagrindais. Ypatingą dėmesį Tarnyba atkreipė į teisėto intereso asmens duomenų tvarkymo teisinį pagrindą – Bankas netinkamai įgyvendino šio teisinio pagrindo naudojimo reikalavimus. Asmens duomenų tvarkymas remiantis teisėto intereso pagrindu nebuvo pakankamai pagrįstas. Dėl šių pažeidimų Bankui buvo paskirta 2 000 000 EUR bauda. Tarnyba, kaip Bendrovės atsakomybę sunkinančius veiksnius nurodė pažeidimo pobūdį, sunkumą ir trukmę, faktą, kad įmonė yra didelė ir jos apyvarta yra didelė.

Taip pat, Tarnyba nustatė, kad Bankas netinkamai įgyvendino duomenų sutikimo rinkimo ir gavimo reikalavimus. Buvo nustatyta, kad duomenų subjekto sutikimas neatitiko visų reikalaujamų sutikimo elementų. Tarnyba padarė išvadą, kad tai pažeidžia BDAR 6 str., ir Bankui buvo paskirta 4 000 000 EUR administracinė bauda.

Be administracinės baudos, kuri yra didžiausia kada nors paskirta Ispanijoje, Tarnyba nurodė Bankui per ateinančius šešis mėnesius užtikrinti savo tvarkymo operacijų atitiktį BDAR 6, 13 ir 14 straipsniams.

Šis praktinis pavyzdys įrodo, kaip svarbu tinkamai įvertinti, kokiu teisiniu pagrindu yra tvarkomi asmens duomenis. Tais atvejais, kai asmens duomenis tvarkomi teisėto intereso pagrindo, turi būti atliktas bendrovės ir duomenų subjekto interesų balanso testas. Jo rezultatas – turi būti nustatyta, ar duomenų valdytojo teisėti interesai (ne)viršija duomenų subjekto interesų. Taip pat turi būti užtikrinta duomenų subjekto teisė nesutikti su jo asmens duomenų tvarkymo teisėto intereso pagrindu.

ECOVIS ProventusLaw rekomenduoja:

  • Peržiūrėti su asmens duomenų tvarkymu susijusius dokumentus ir įvertinti, ar bendrovės teisėto intereso asmens duomenų tvarkymo teisinis pagrindas yra tinkamas konkrečiai nurodytu atveju;
  • Išsiaiškinti, ar nėra galimybės duomenų tvarkymo grįsti kitu teisiniu pagrindu;
  • Patikrinti, ar visais atvejais yra atliktas bendrovės ir duomenų subjekto interesų balanso testas;
  • Pasirengti įgyvendinti duomenų subjekto teisę nesutikti su jo asmens duomenų tvarkymu, kai asmens duomenų tvarkymo teisinis pagrindas yra jūsų teisėti interesai;
  • Įvertinti, ar esate pasirengęs, esant patikrinimui, įrodyti savo atitikimą BDAR, jei asmens duomenų tvarkymo teisiniu pagrindu yra jūsų teisėti interesai.

Parengė advokato padėjėja Brigida Bacienė ir teisininkas Nojus A. Bendoraitis

 

 

 

Naujienlaiškio prenumerataSusisiekti