Duomenų apsaugos pareigūnas Allaw® supažindina

Kaip skelbia Europos duomenų apsaugos valdyba (toliau - EDAV), Ispanijos duomenų apsaugos priežiūros institucija skyrė 1,5 mln. eurų baudą vienam Ispanijos elektros tiekėjų - EPD Energía, S.A.U. už tai, kad ši taikė nepakankamas duomenų saugumo priemones ir netinkamai informavo duomenų subjektus apie atliekamą duomenų tvarkymą. Duomenų apsaugos pareigūnas Allaw supažindina, kokie pažeidimai tvarkant asmens duomenis buvo padaryti ir į ko gali pasimokyti kiti duomenų valdytojai.

Nepakankamos duomenų saugumo priemonės - BDAR reikalavimų pažeidimas


Tyrimo metu Ispanijos duomenų apsaugos priežiūros institucija nustatė, kad EPD Energía, S.A.U. nesiėmė techninių ir organizacinių priemonių patikrinti, ar asmuo, samdantis šios įmonės paslaugas kito fizinio asmens vardu, turi leidimą sudaryti ir vykdyti sutartį. Ji taip pat nepriėmė techninių ir organizacinių priemonių patikrinti, ar kito fizinio asmens vardu veikiantis asmuo yra įgaliotas to asmens sutikti, kad jo vardu būtų tvarkomi kiti asmens duomenys. Šių sutikimų buvo prašoma priėmimo į darbą metu dviem tikslais: siunčiant savo ir trečiųjų šalių komercinius pranešimus ir profiliuojant informaciją iš trečiųjų šalių duomenų bazių automatizuotam sprendimų priėmimui, siekiant išsiųsti suasmenintus reklamos pasiūlymus ir sudaryti sąlygas sudaryti tam tikrų sutarčių sudarymui. Dėl šių priežasčių Ispanijos duomenų apsaugos priežiūros institucija konstatavo BDAR 25 str. pažeidimą ir vadovaudamasi BDAR 83 str. 4 d. a) punktu skyrė 500 000 eurų baudą

Netinkamas duomenų subjektų informavimas lemia milijonines baudas

Be aukščiau aprašytų pažeidimų buvo nustatyta, kad informacinis pranešimas duomenų subjektams apie jų asmens duomenų tvarkymą nepateikia pakankamai informacijos apie duomenų valdytoją, duomenų tvarkymo teisinį pagrindą, pagrįstą ne sutikimu, duomenų tvarkymo tikslus, susijusius su profiliavimu teisėtų interesų pagrindu, nei apie teisę prieštarauti duomenų tvarkymo veiklai, kurią duomenų valdytojas grindžia savo teisėtu interesu. Be to, kai kuriomis įmonės paslaugų pirkimo procedūromis (pvz., sutartimis telefonu) prieigos prie visos BDAR 13 str. reikalaujamos pateikti informacijos forma nėra paprasta ir greita, kas prieštarauja BDAR 12 str. įtvirtintiems informacijos duomenų subjektams pateikimo principams. Įvertinusi situaciją Ispanijos priežiūros institucija konstatavo, kad buvo pažeistas BDAR 13 str., dėl ko pagal BDAR 83 straipsnio 5 dalies b punktą buvo paskirta 1 000 000 eurų bauda.


Ko gali pasimokyti kiti duomenų valdytojai?

Atsižvelgiant į aukščiau aprašytus pažeidimus, kiekvienas duomenų valdytojas, prieš atlikdamas duomenų tvarkymo veiklą, turi įsitikinti, kad tinkamai informavo duomenų subjektus (vadovaujantis BDAR 13 str.), t. y., lengvai prieinama forma, aiškia ir suprantama kalba nurodė duomenų subjektams:

Įmonės, vykdančios asmens duomenų tvarkymą, pavadinimą, kodą, adresą ir kontaktus,

Įmonės duomenų apsaugos pareigūno (kai toks įmonėje paskirtas) kontaktus,

Kokius, kokias tikslais ir kokiu pagrindu tvarko asmens duomenis (BDAR 6 str.),

Asmens duomenų gavėjus arba jų kategorijas,

Ar duomenys perduodami į trečiąsias šalis (ne ES valstybes nares) ir tarptautinėms organizacijoms,

Asmens duomenų saugojimo laikotarpį,

Kai duomenų tvarkymas atliekamas teisėto intereso pagrindu, teisėtus įmonės interesus,

Duomenų subjekto teisę pateikti skundą VDAI,

Asmens duomenų kilmės šaltinį, ir, jei taikoma, ar duomenys gauti iš viešai prieinamų šaltinių,

Informavimą apie profiliavimą,

Teisę prašyti, kad įmonė leistų susipažinti su duomenų subjekto asmens duomenimis ir juos ištaisytų arba ištrintų, arba apribotų duomenų tvarkymą, ir teisę nesutikti, kad duomenys būtų tvarkomi, taip pat teisę į duomenų perkeliamumą.

Taip pat prieš tvarkant asmens duomenis kiekvienas duomenų valdytojas turi įdiegti duomenų saugumo priemones. Vadovaujantis VDAI rekomendacijomis, diegiant ar vertinant turimas organizacines ir technines duomenų saugumo priemones, įmonės turi visapusiškai atsižvelgti į duomenų tvarkymo aprėptį, kontekstą bei tikslus ir riziką, susijusią su pavojais fizinių asmenų teisėms ir laisvėms. BDAR 24 ir 32 str. įpareigoja įmones visais atvejais atlikti rizikos vertinimą. Todėl siekiant pritaikyti tinkamas duomenų saugumo priemones pirmiausia, vadovaujantis VDAI rekomendacijomis, turi būti atliktas rizikos vertinimas, pagal nustatytą rizikos lygį parinktos ir pritaikytos duomenų saugumo priemonės, o jas pritaikius periodiškai peržiūrimos, ir, nustačius poreikį, atnaujinamos.


Bylos santrauka (turinys tik Allaw klientams)


Nuorodos


https://edpb.europa.eu/news/news/2021/spanish-dpa-imposes-fine-1500000-euros-epd-energia-sau-two-infractions-gdpr_en

https://www.dataguidance.com/news/spain-aepd-fines-edp-energ%C3%ADa-%E2%82%AC15m-security-and

Nepamiršti

Informuoti duomenų subjektus apie jų asmens duomenų tvarkymą informaciniais pranešimais ir periodiškai peržiūrėti bei atnaujinti taikomas duomenų saugumo priemones.

This page contains macros or features from a plugin which requires a valid license.

You will need to contact your administrator.