Сравнително ниска глоба за MARBELLA RESORTS, SL за нарушаване на GDPR

В Испания публикуваха в сайт за възрастни лични данни на жена

Испанската агенция за защита на данните AEPD глоби MARBELLA RESORTS, SL, за нарушаване на GDPR. Установено е, че жена идва да се настани в комплекса на компанията в извънработното му време и личната й карта е взета от портиера, който не е служител на фирмата. Той е нает от етажната собственост.

Жената подава жалба, след като разбира, че нейни данни са публикувани в сайт за възрастни.

Според AEPD е нарушена ал. 3 на чл. 28 на GDPR, в която се казва, че Обработването от страна на обработващия лични данни се урежда с договор или с друг правен акт съгласно правото на Съюза или правото на държава членка, който е задължителен за обработващия лични данни спрямо администратора, и който регламентира предмета и срока на действие на обработването, естеството и целта на обработването, вида лични данни и категориите субекти на данни и задълженията и правата на администратора. В този договор или друг правен акт се предвижда по-специално, че обработващият лични данни:

a) обработва личните данни само по документирано нареждане на администратора, включително що се отнася до предаването на лични данни на трета държава или международна организация, освен когато е длъжен да направи това по силата на правото на Съюза или правото на държава членка, което се прилага спрямо обработващия лични данни, като в този случай обработващият лични данни информира администратора за това правно изискване преди обработването, освен ако това право забранява такова информиране на важни основания от публичен интерес;

б) гарантира, че лицата, оправомощени да обработват личните данни, са поели ангажимент за поверителност или са задължени по закон да спазват поверителност;

в) взема всички необходими мерки съгласно член 32;

г) спазва условията по параграфи 2 и 4 за включване на друг обработващ лични данни;

д) като взема предвид естеството на обработването, подпомага администратора, доколкото е възможно, чрез подходящи технически и организационни мерки при изпълнението на задължението на администратора да отговори на искания за упражняване на предвидените в глава III права на субектите на данни;

е) подпомага администратора да гарантира изпълнението на задълженията съгласно членове 32-36, като отчита естеството на обработване и информацията, до която е осигурен достъп на обработващия лични данни;

ж) по избор на администратора заличава или връща на администратора всички лични данни след приключване на услугите по обработване и заличава съществуващите копия, освен ако правото на Съюза или правото на държава членка не изисква тяхното съхранение;

з) осигурява достъп на администратора до цялата информация, необходима за доказване на изпълнението на задълженията, определени в настоящия член, и позволява и допринася за извършването на одити, включително проверки, от страна на администратора или друг одитор, оправомощен от администратора.

Предвид буква з) от първа алинея обработващият лични данни незабавно уведомява администратора, ако според него дадено нареждане нарушава настоящия регламент или други разпоредби на Съюза или на държавите членки относно защитата на данни.

Затова и санкцията в резултат на жалбата на жената за нарушаване на GDPR е определена първоначално на 5000 евро. Освен това още 2 000 евро е глобата по отношение на политиката за бисквитките в уебсайта на компанията.

Испанското законодателство предвижда, както съм писала и друг път, признаване на вината и това води до намаляване с 20% на наказанието – в настоящата процедура 1400 евро. С приложението от това намаление санкцията ще бъде 5600 евро.

Ако се извърши доброволното плащане на предложената санкция, означава намаление с още 20% от сумата й, еквивалентно в този случай на 1400 евро. С прилагането на това намаление санкцията ще бъде 5600 евро и плащането означава прекратяване на процедурата.

На 16 юни 2021 г. компанията плаща санкция в размер на 4 200 евро, като се използват двете планирани намаления.

Можете да споделите: