Amendă administrativă în valoare de 6.000.000 EUR aplicată de către Autoritatea Spaniolă pentru Protecția Datelor companiei CAIXABANK S.A pentru prelucrarea ilegală a datelor cu caracter personal ale clienților
Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda totală în valoare de 6.000.000 EUR aplicată de către Autoritatea Spaniolă pentru Protecția Datelor (AEPD) companiei CAIXABANK, S.A pentru prelucrarea ilegală a datelor cu caracter personal ale clienților (4.000.000 EUR) și pentru nefurnizarea de informații suficiente cu privire la prelucrarea datelor cu caracter personal (2.000.000 EUR).
Autoritatea Spaniolă pentru Protecția Datelor a considerat că compania CAIXABANK nu a oferit suficiente informații cu privire la categoriile de date cu caracter personal vizate, scopurile prelucrării datelor cu caracter personal, precum și legalitatea prelucrării acestora, în special activitățile de prelucrare bazate pe interesul legitim al companiei. În consecință, AEPD a constatat încălcarea prevederilor stipulate la articolele 13 și 14 din GDPR, fiind impusă o amendă de 2.000.000 EUR.
Totodată, Autoritatea Spaniolă pentru Protecția Datelor a constatat că CAIXABANK nu a furnizat niciun mecanism de colectare a consimțământului subiectului de date, iar activitățile de prelucrare a datelor bazate pe interesul legitim al companiei nu au fost suficient justificate. AEPD a concluzionat că aceasta a constituit o încălcare a articolului 6 din GDPR și, în conformitate cu articolul 83 alineatul (5) a din GDPR, a fost impusă o amendă administrativă în valoare de 4.000.000 EUR.
La stabilirea cuantumului amenzii administrative, AEPD a ținut cont de natura, gravitatea și durata încălcării, domeniul de activitate a companiei ce implică prelucrarea datelor cu caracter personal, precum și cifra de afaceri a acesteia. În plus față de amenda administrativă, cea mai mare impusă vreodată de APD spaniolă, AEPD a dispus companiei CAIXABANK să își aducă operațiunile de prelucrare a datelor în conformitate cu articolele 6, 13 și 14 din GDPR în următoarele șase luni.
CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt în conformitate cu legislația în vigoare.