2,17 milliárd GDPR bírság rossz hozzájárulás miatt
A Spanyol Adatvédelmi Hatóság (AEPD) híres arról, hogy ők szabják ki a legtöbb adatvédelmi bírságot. Ezt úgy érték el, hogy általában több, kisebb horderejű adatvédelmi ügyre reagálnak, melyeknek bírsága csak a legritkább esetekben haladja meg a százezer eurót, illetve figyelmeztetnek a lehetséges veszélyekre.
A CaixaBank elleni ügyükben viszont emelik a téteket, és a Hatóság eddigi történetének legnagyobb összegű bírságát szabták ki: összesen 6 millió eurót. Egyesek szerint ez az ügy az első lépés volt egy hosszabb folyamatban, melynek során az AEPD nagyobb cégekre is kiveti a hálóját. Mint azóta kiderült, ezeknek a hangoknak igazuk is volt; a Hatóságnak két hónap sem kellett hozzá, hogy megdöntse saját rekordját (a Vodafone-ra kiszabott 8,15M eurós bírsággal külön cikkben foglalkozunk a közeljövőben).
A CaixaBank ügyében a Hatóság megállapította, hogy az ügyfeleknek olyan „adatvédelmi nyilatkozatot” kellett volna elfogadniuk a szolgáltatások igénybevételéhez, mely engedélyezte a banknak, hogy az ügyfelek személyes adatait a CaixaBank csoporton belül minden cégnek továbbítsák. Ugyanakkor az érintettek nem kaptak lehetőséget, hogy a közös adatkezeléshez ne járuljanak hozzá. Egyetlen módja volt az adatkezelés megakadályozásának: az érintetteknek minden cég részére külön levelet kellett küldeniük, melyben visszavonták hozzájárulásukat, illetve tiltakoznak adataik kezelése ellen (attól függően, hogy a képzelt vagy a valós jogalapot vesszük alapul), mely gyakorlatot az AEPD aránytalannak ítélte.
Megállapította továbbá, hogy az „adatkezelési nyilatkozat” tartalma nem volt konzisztens, többféle helytelen terminológiát használt, illetve, hogy az érintettek nem kaptak megfelelő tájékoztatást az adatkezelés szabályairól, a jogaikról, illetve az adatkezelő adatait sem tartalmazta megfelelően.
Az AEPD döntésében kifejti, hogy a 6 millió eurós bírság két részből áll össze. Az adatvédelmi tájékoztató hiányosságai miatt a Hatóság kimondta többek között a GDPR 13. és 14. cikkének megsértését és 2 millió euró bírságot szabott ki. A Hatóság döntése meghozatala során figyelembe vette az ügy súlyosságát, annak természetét és hosszát, illetve a cég méretét és éves bevételét.
A bírság másik része egy 4 millió eurós összeg, melyet az AEPD a GDPR 6. cikkének megszegéséért, tehát a jogos érdek, mint jogalap érintetti hozzájárulás helyetti használata miatt szabott ki. Ennek indoklása szerint a CaixaBank nem nyújtott jogszerű mechanizmust az érintettek hozzájárulásának megszerzésére, így a GDPR szerint a hozzájárulás nem lehetett jogszerű, a jogos érdekre alapozott adatkezelések pedig nem voltak megfelelő érdekmérlegeléssel alátámasztva. A bírság megállapításakor a korábban említett szempontok mellett mérlegelték a bank által alkalmazott technikai és szervezeti intézkedéseket, illetve a jogsértés következtében szerzett előnyöket, melyekhez a CaixaBank jutott.