Created by Unknown User (m.zvinyte@juridicon.lt), last modified by Unknown User (a.stundzia@juridicon.lt) on Jan 27, 2021
Duomenų apsaugos pareigūnas Allaw® supažindina
Praėjusią savaitę Ispanijos duomenų apsaugos priežiūros institucija skyrė 6 mln. eurų baudą vienam Ispanijos bankų už tai, kad šis pažeidė Bendrojo duomenų apsaugos reglamento (BDAR) 6, 13, 14 str. - sutikimo, kaip pagrindo tvarkyti asmens duomenis ir duomenų subjektų informavimo reikalavimus. Duomenų apsaugos pareigūnas Allaw atkreipia dėmesį į pagrindinius aspektus, kuriuos duomenų valdytojai turėtų įvertinti informuodami duomenų subjektus apie asmens duomenų tvarkymą ir remdamiesi duomenų subjekto sutikimu tvarkydami asmens duomenis.
Kada sutikimas laikomas teisėtu pagrindu tvarkyti asmens duomenis?
Sutikimas yra vienas iš BDAR 6 str. nustatytų pagrindų, kuriais remdamiesi duomenų valdytojai gali tvarkyti asmens duomenis. Tačiau BDAR 7 str. numato sąlygas kada duomenų valdytojai gali remtis duomenų subjekto sutikimu, kaip pagrindu tvarkyti asmens duomenis, t.y,:
prašymas duoti sutikimą turi būti atskirtas nuo kitų klausimų,
prašymas duoti sutikimą turi būti pateiktas suprantama ir lengvai prieinama forma,
prašymas duoti sutikimą turi būti aiškia ir paprasta kalba,
sutikimas turi būti duotas laisva valia,
duomenų subjektas turi teisę bet kada atšaukti sutikimą (apie šią teisę jis turi būti informuotas sutikimo davimo metu),
duomenų valdytojas turi galėti įrodyti, kad duomenų subjektas davė sutikimą.
Įsidėmėkite
Tik tenkinant visas šias sąlygas sutikimas gali būti laikomas tinkamu pagrindu tvarkyti asmens duomenis (BDAR 6 str.). Ispanijos bankas, gavęs minėtą baudą pažeidė šiuos reikalavimus, nes banko klientai turėjo sutikti su nauja privatumo politika, leidžiančia minėtam bankui perduoti klientų asmens duomenis visoms banko grupės įmonėms. Duomenų subjektams, sutinkantiems su nauja privatumo politikos redakcija nebuvo suteikta lengvai prieinama galimybė nesutikti su šiuo jų asmens duomenų perdavimu. Jei jie norėjo nesutikti su savo duomenų perdavimu, jie turėjo išsiųsti nesutikimo laišką kiekvienai atskirai grupės įmonei, taip pažeidžiant reikalavimą, kad sutikimas būtų atskirtas nuo kitų klausimų, duotas suprantama ir lengvai prieinama forma bei bet kada lengvai atšauktas. Todėl Ispanijos priežiūros institucija pripažino, kad buvo pažeistas BDAR 6 str. ir neturint kito pagrindo perduoti asmens duomenims duomenys banko grupės įmonėms buvo perduoti be pagrindo.
Kaip turėtų būti informuojami duomenų subjektai, kad būtų tinkamai įgyvendinti BDAR 13, 14 str.?
BDAR 13, 14 str. įpareigoja duomenų valdytojus informuoti duomenų subjektus apie jų asmens duomenų tvarkymą pirmą kartą susisiekiant su duomenų subjektu. BDAR 12 str. nustato, kad informacija, pateiktas minėtuose straipsniuose duomenų subjektui būtų išdėstyta:
glausta,
skaidria,
ir lengvai prieinama forma,
aiškia ir paprasta kalba.
Ispanijos priežiūros institucija padarė išvadą, kad minėtas bankas pažeidė informavimo pareigą, nes klientams pagal privatumo politiką pateikta informacija nebuvo nuosekli, buvo pateikta netiksli terminologija ir nebuvo pateikta pakankamai informacijos apie tvarkomus asmens duomenis ir tvarkymo pobūdį, sukurtus duomenų subjektų profilius. Be to, informacija apie duomenų subjektų teises, taip pat duomenų valdytojo kontaktinė informacija nebuvo pateikta nuosekliai.
Į ka turėtų atkreipti dėmesį kiekvienas duomenų valdytojas, siekdamas, kad jo gauti sutikimai ir informacija pateikiama duomenų subjektui atitiktų BDAR reikalavimus?
Kiekvienam duomenų valdytojui, siekiančiam nekartoti minėto Ispanijos banko klaidų reikalinga atkreipti dėmesį į šiuos aspektus:
1. Ar gaunamas sutikimas atitinka BDAR 7 str. reikalavimus?
2. Ar užfiksuojate gautą sutikimą ir galėtumėte įrodyti jo gavimą?
3. Ar dokumentavote duomenų tvarkymo pagrindus duomenų tvarkymo veiklos įrašuose?
4. Ar pateikiate duomenų subjektams BDAR 13-14 str. reikalaujamą informaciją?
5. Ar Jūsų pasirinkti informacijos duomenų subjektams pateikimo būdai atitinka BDAR 12 str. nustatytus reikalavimus?
Žr. papildomai priedą - diagramą šios publikacijos apačioje.
Informuojant duomenų subjektus apie duomenų tvarkymą pateikta informacija turi būti NUOSEKLI, GLAUSTA, SKAIDRI, parašyta AIŠKIA ir PAPRASTA kalba. Ši informacija turi būti lengvai prieinama.
This page contains macros or features from a plugin which requires a valid license.
Ispanijos bankui skirta 6 mln. eurų bauda už sutikimo ir informavimo pažeidimus
Praėjusią savaitę Ispanijos duomenų apsaugos priežiūros institucija skyrė 6 mln. eurų baudą vienam Ispanijos bankų už tai, kad šis pažeidė Bendrojo duomenų apsaugos reglamento (BDAR) 6, 13, 14 str. - sutikimo, kaip pagrindo tvarkyti asmens duomenis ir duomenų subjektų informavimo reikalavimus. Duomenų apsaugos pareigūnas Allaw atkreipia dėmesį į pagrindinius aspektus, kuriuos duomenų valdytojai turėtų įvertinti informuodami duomenų subjektus apie asmens duomenų tvarkymą ir remdamiesi duomenų subjekto sutikimu tvarkydami asmens duomenis.
Kada sutikimas laikomas teisėtu pagrindu tvarkyti asmens duomenis?
Sutikimas yra vienas iš BDAR 6 str. nustatytų pagrindų, kuriais remdamiesi duomenų valdytojai gali tvarkyti asmens duomenis. Tačiau BDAR 7 str. numato sąlygas kada duomenų valdytojai gali remtis duomenų subjekto sutikimu, kaip pagrindu tvarkyti asmens duomenis, t.y,:
Tik tenkinant visas šias sąlygas sutikimas gali būti laikomas tinkamu pagrindu tvarkyti asmens duomenis (BDAR 6 str.). Ispanijos bankas, gavęs minėtą baudą pažeidė šiuos reikalavimus, nes banko klientai turėjo sutikti su nauja privatumo politika, leidžiančia minėtam bankui perduoti klientų asmens duomenis visoms banko grupės įmonėms. Duomenų subjektams, sutinkantiems su nauja privatumo politikos redakcija nebuvo suteikta lengvai prieinama galimybė nesutikti su šiuo jų asmens duomenų perdavimu. Jei jie norėjo nesutikti su savo duomenų perdavimu, jie turėjo išsiųsti nesutikimo laišką kiekvienai atskirai grupės įmonei, taip pažeidžiant reikalavimą, kad sutikimas būtų atskirtas nuo kitų klausimų, duotas suprantama ir lengvai prieinama forma bei bet kada lengvai atšauktas. Todėl Ispanijos priežiūros institucija pripažino, kad buvo pažeistas BDAR 6 str. ir neturint kito pagrindo perduoti asmens duomenims duomenys banko grupės įmonėms buvo perduoti be pagrindo.
BDAR 13, 14 str. įpareigoja duomenų valdytojus informuoti duomenų subjektus apie jų asmens duomenų tvarkymą pirmą kartą susisiekiant su duomenų subjektu. BDAR 12 str. nustato, kad informacija, pateiktas minėtuose straipsniuose duomenų subjektui būtų išdėstyta:
Ispanijos priežiūros institucija padarė išvadą, kad minėtas bankas pažeidė informavimo pareigą, nes klientams pagal privatumo politiką pateikta informacija nebuvo nuosekli, buvo pateikta netiksli terminologija ir nebuvo pateikta pakankamai informacijos apie tvarkomus asmens duomenis ir tvarkymo pobūdį, sukurtus duomenų subjektų profilius. Be to, informacija apie duomenų subjektų teises, taip pat duomenų valdytojo kontaktinė informacija nebuvo pateikta nuosekliai.
Kiekvienam duomenų valdytojui, siekiančiam nekartoti minėto Ispanijos banko klaidų reikalinga atkreipti dėmesį į šiuos aspektus:
1. Ar gaunamas sutikimas atitinka BDAR 7 str. reikalavimus?
2. Ar užfiksuojate gautą sutikimą ir galėtumėte įrodyti jo gavimą?
3. Ar dokumentavote duomenų tvarkymo pagrindus duomenų tvarkymo veiklos įrašuose?
4. Ar pateikiate duomenų subjektams BDAR 13-14 str. reikalaujamą informaciją?
5. Ar Jūsų pasirinkti informacijos duomenų subjektams pateikimo būdai atitinka BDAR 12 str. nustatytus reikalavimus?
Žr. papildomai priedą - diagramą šios publikacijos apačioje.
Nuorodos
https://www.dataguidance.com/news/spain-aepd-fines-caixabank-%E2%82%AC6m-consent-and-information
Pasitikrinti, ar tinkamai informuojate duomenu subjektus.
Prieš tvarkant asmens duomenis sutikimo pagrindu pasitikrinti, ar Jūsų prašomas sutikimas atitinka jam keliamus reikalavimus
Pasitikrinti, ar Jūsų BDAR mokymų temos apima duomenų subjekto informavimą ir duomenų tvarkymo pagrindų analizę
Informuojant duomenų subjektus apie duomenų tvarkymą pateikta informacija turi būti NUOSEKLI, GLAUSTA, SKAIDRI, parašyta AIŠKIA ir PAPRASTA kalba. Ši informacija turi būti lengvai prieinama.
You will need to contact your administrator.
BDAR: įvadinis kursas
BDAR e-vedlys
Dažnai užduodami klausimai (DUK)
Teirautis dėl prieigos prie BDAR mokymų e-medžiagos
Sužinoti apie inovatyvią paslaugą duomenų apsaugos pareigūnas Allaw®
Palikti žinutę duomenų apsaugos pareigūnui Allaw®
Telefonu: 8-616 02000
Priedas - Duomenų subjekto sutikimo ir jam pateikiamos informacijos teisėtumas (diagrama)
Sutikimasirinformavimassiubjekto
(v.0)
Loading diagram...