Новини

Глоба в размер на 6.000.000 EUR беше наложена на испанска банка за нарушаване на Общия регламент за защита на личните данни

Испанският орган за защита на личните данни е наложил имуществена сакнция на банка в общ размер на 6.000.000 EUR, от които 4.000.000 EUR за незаконосъобразно обработване на личните данни на клиентите и 2.000.000 EUR за това, че банката не е предоставила пълна информация за процеса по обработване на личните данни.

 

Органът за защита на личните данни е установил, че изготвените от банката документи, които трябвало да съдържат задължителната информация по отношение на процеса по обработване на личните данни, всъщност не съдържали информация за категориите лични данни, които са били обработвани, нито съдържали информация за целите на обработването, както и нормативната основа за дейностите по обработването и по – специално за онези дейности по обработване на лични данни, които се основавали на легитимния интерес на банката. По този начин, Органът е установил, че банката е нарушила чл. 13 и чл. 14 от Общия регламент за защита на личните данни, в резултат на което, на основание чл. 83, т. 5, б. „б“ от Регламента на банката е била наложена имуществена санкция в размер на 2.000.000 EUR. При определянето на размера на имуществената санкция, Органът е взел предвид някои утежняващи фактори като количеството, естеството и продължителността на извършването на нарушението, небрежността, с която е било извършвано обработването на личните данни, връзката между дейностите на банката и свързаното с тях обработване на лични данни и др.

От друга страна Испанският орган по защита на лични данни е установил, че банката не е създала механизъм са получаване на съгласие от клиентите си за обработване на личните им данни. Съгласието, давано от страна на клиентите, не съдържало всички елементи на валидно даденото съгласие по смисъла на ОРЗД. Административният орган е установил, че в този случай банката е нарушила чл. 6 от ОРЗД и на основание чл. 83, т. 5 от Регламента е наложил имуществена санкция в размер на 4.000.000 EUR. Отново при определяне на размера на имуществената санкция, органът е взел предвид утежняващите фактори, посочените по – горе. В допълнение обаче към тях, са взети предвид и следните обстоятелства: Степента на отговорност на банката, в качеството й на администратор на лични данни, за съблюдаване на техническите и организационни мерки, установени в чл. 25 и чл. 32 от ОРЗД; ползите, които банката е набавила вследствие на незаконосъобразното обработване на лични данни; категориите лични данни, които са били засегнати от обработването и др.

В допълнение, към наложената имуществена сакнция, която била най-голямата, налагана досега от Испанския орган за защита на личните данни, органът задължил банката в следващите шест месеца да приведе в съответствие с чл. 6, 13 и 14 от ОРЗД дейността си по обработване на личните данни на клиентите си.

Линк към решението на испанския надзорен орган по защита на личните данни: https://www.aepd.es/es/documento/ps-00477-2019.pdf