Spanyolország: 25.000 euro bírság adatvédelmi tisztviselő hiánya miatt

Spanyolország: 25.000 euro bírság adatvédelmi tisztviselő hiánya miatt
by zvarazs

Egy 2019 májusában, majd novemberében tett bejelentés alapján a Glovo nevű startup lett az első cég Spanyolországban, amelyet adatvédelmi tisztviselő kinevezésének elmulasztása miatt megbírságoltak. A Spanyol Adatvédelmi Hatóság (AEPD) mintegy 25.000 eurós bírságot szabott ki a cégre a GDPR 37. cikkének megsértése miatt.

Mostanában úgy tűnik, hogy az európai hatóságok egyre szigorúbban vizsgálják a DPO-val kapcsolatos elvárások betartását, nemrég számoltunk be mi is arról, hogy a belga hatóság az adatvédelmi tisztviselő kinevezésére vonatkozó kötelezettség nem megfelelő teljesítése miatt bírságolt egy adatkezelőt. Abban az esetben a problémát elsődlegesen az adatvédelmi tisztviselő összeférhetetlensége és függetlenségének hiánya jelentette.

A NAIH eddig nem hozott nyilvánosságra olyan határozatot, amelyben részletesen a vizsgálta volna az adatvédelmi tisztviselő kinevezésével kapcsolatos körülményeket.

Az AEPD által megbírságolt Glovo nem ért egyet a kiszabott bírsággal, állításuk szerint a 37. cikk rendelkezései nem vonatkoznak rájuk, emellett a kérdéses időszakban rendelkeztek egy adatvédelmi bizottsággal foglalkozó kollégával, aki állításuk szerint ugyanazt a funkciót töltötte be.

A fentiek ellenére Hatóság a döntésében bizonyított tényként kezeli, hogy a cég a vizsgálat időpontjában nem rendelkezett adatvédelmi tisztviselővel. A döntés szintén tartalmazza, hogy a Glovo napokkal a hatósági szankció kivetése után egyébként kinevezett egy tisztviselőt. Súlyosbító körülményként értékelték továbbá, hogy a cég a GDPR 37. cikk (1) bekezdés b) pontja szerinti „nagymértékű” adatkezelést végez.

A GDPR pontosan nem definiálja, hogy mi minősül „nagymértékű” adatkezelésnek, a 29-es Munkacsoport WP243-as számú állásfoglalásában az alábbi szempontok figyelembevételét javasolják a kérdés eldöntése során:

1. Az érintettek száma – akár egy konkrét szám, akár az adott népesség arányában.
2. Az adatok mennyisége és/vagy a kezelésre kerülő különböző adatok köre.
3. Az adatkezelési tevékenység időtartama vagy állandósága.
4. Az adatkezelési tevékenység földrajzi kiterjedése.

Példák a nagymértékű vagy nagy számban történő adatkezelésre:

– a betegek adatainak kezelése a kórház szokásos működése keretében,
– városi tömegközlekedést használó személyek utazási adatainak kezelése (például menetjegyek nyomon követése),
– egy nemzetközi gyorsétteremlánc ügyfeleire vonatkozó valós idejű helymeghatározási adatok statisztikai célú kezelése egy erre a szolgáltatás nyújtására specializálódott adatkezelő útján,
– ügyféladatok kezelése egy biztosító társaság vagy egy bank szokásos üzletmenete keretében,
– személyes adatok keresőmotor általi kezelése viselkedésalapú reklám céljából,
– adatok (tartalom, forgalom, hely) kezelése telefon- vagy internetszolgáltatók által.

Példák arra, mi nem tartozik a nagymértékű vagy nagy számban történő adatkezelés körébe:

– betegek adatainak kezelése egy adott szakorvos által
– a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok kezelése egy adott ügyvéd által.

A GDPR 83. cikke értelmében az adatvédelmi tisztviselő kinevezésével kapcsolatos mulasztás „legfeljebb 10 000 000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2 %-át kitevő összeggel sújtható; a kettő közül a magasabb összeget kell kiszabni”.

A Genbeta nevű spanyol portál megkereste a céget, hogy kívánnak-e nyilatkozni az ügyben. A Glovo válaszában kijelentette, hogy nem ért egyet a megállapított tényekkel, a bírság összegével, illetve a döntés jogalapjával és minden jogi lehetőséget ki fog meríteni annak bizonyítására, hogy minden esetben az adatvédelmi jogszabályoknak megfelelően járt el.

Állításuk szerint „az ügyfeleknek folyamatosan garantálva volt jogaik védelme, elsőként egy bizottság formájában, majd később, amikor az ügyfelek száma erre okot adott, egy adatvédelmi tisztviselő személyében.

Az AEPD döntése nem végleges, és a nemzeti bíróság előtt megfellebbezhető.

Forrás: GDPR.news.hu