Obowiązek informacyjny rodo

KOMPAS FORSAFE 2021/2

Kraj:

Hiszpania

Data wydania decyzji:

11.12.2020 r.

Podmiot kontrolowany:

Banco Bilbao Vizcaya Argentaria, S.A.

Wysokość kary (EUR):

5.000.000

Podstawa prawna naruszenia

Art. 6, art. 13 RODO.

Niedostateczne wypełnienie obowiązków informacyjnych.

 

Przyczyna naruszenia

Banco Bilbao Vizcaya Argentaria, S.A. (BBVA) naruszyło zasady przejrzystości i legalności przetwarzania danych osobowych zgodnie z RODO. Bank nie dostarczył klientom wystarczających informacji na temat przetwarzania ich danych osobowych oraz uzyskał zgodę na przetwarzanie danych w sposób nieprawidłowy.

 

Opis wydarzeń

  1. Niejasne terminy: Hiszpański organ nadzorczy (AEPD) stwierdził, że BBVA używało niejasnych i nieprecyzyjnych terminów w swojej polityce prywatności.
  2. Brak jasnych informacji: W polityce prywatności brakowało jasnych informacji na temat kategorii danych oraz konkretnych celów przetwarzania.
  3. Wątpliwe podstawy prawne: BBVA powoływało się na wątpliwe podstawy prawne do przetwarzania danych, takie jak uzasadniony interes.
  4. Niewystarczające mechanizmy zgody: Mechanizmy uzyskiwania zgody były niewystarczające, szczególnie w przypadku przetwarzania danych w wielu celach.
  5. Brak informacji o profilowaniu: Brakowało informacji na temat profilowania i potencjalnych konsekwencji dla osób, których dane dotyczą.
  6. Dostosowanie operacji: Bank został zobowiązany do dostosowania swoich operacji przetwarzania danych do przepisów RODO w ciągu sześciu miesięcy od dnia wydania decyzji.
  7. Zaprzestanie przetwarzania: BBVA zostało zobowiązane do zaprzestania przetwarzania danych na podstawie uzasadnionych interesów.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Zgoda użytkowników: Zgoda na przetwarzanie danych powinna być uzyskiwana w sposób jednoznaczny i specyficzny dla każdego celu przetwarzania. Użytkownicy powinni mieć możliwość wyrażenia zgody na poszczególne operacje przetwarzania danych.
  2. Polityka prywatności: Opracowanie polityki prywatności tak, aby w sposób jasny i precyzyjny informować osoby, których dane dotyczą, o przetwarzaniu ich danych osobowych. Używanie prostego języka, unikanie zdań i skomplikowanych struktur językowych. Formułowanie celu i podstawy prawnej przetwarzania danych osobowych tak, by były łatwe do zrozumienia.
  3. Regularne przeglądy polityki prywatności: Regularne przeglądy i aktualizacje polityki prywatności, aby zapewnić zgodność z obowiązującymi przepisami.
  4. Usprawiedliwiony interes administratora: Powołując się przy przetwarzaniu danych osobowych na usprawiedliwiony interes administratora, należy wykonać test równowagi.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO