En bank uppgav inte tillräcklig information enligt GDPR i samband med behandling av personuppgifter och fick därför en sanktionsavgift på 6 000 000 euro. Det var två olika sanktionsavgifter, varav ena var 4 000 000 euro och den andra 2 000 000 euro. Banken är en av de största i Spanien och sanktionsavgiften var den dittills högsta tilldelade någonsin, av den spanska motsvarigheten till IMY.
Bank uppgav inte tillräcklig information enligt GDPR
Ett företag som behandlar personuppgifter måste beskriva behandlingen till de registrerade personerna genom att ha vissa dokument och avtal. GDPR som började gälla 2018 ställer högre krav på företag vid behandling av personuppgifter och det kan medföra stora ekonomiska konsekvenser för företag som inte följer regelverket.
Tillsynsmyndigheten konstaterade i detta fall att de dokument banken hade om personuppgiftsbehandlingen, innehöll otillräcklig information. Banken hade bland annat inte beskrivit ändamålet med behandlingen tillräckligt eller informationen om vilka kategorier av personuppgifter som blev behandlade. Dessutom var informationen inte tillräcklig gällande vilken rättslig grund som banken använde för behandlingen, särskilt avseende de situationer då banken använde ”berättigat intresse” som rättslig grund.
En av anledningarna till varför banken fick en så hög sanktionsavgift, var för att det är ett stort företag. Vid beräkning av sanktionsavgift, är verksamhetens storlek en viktig faktor som påverkar stoleken på sanktionen. Ett företag kan få upp till 20 miljoner euro eller 4 % av den totala årsomsättningen som högst för brott mot GDPR. Därför är det viktigt att följa regelverket eftersom konsekvenserna kan skapa stora problem för företag.
Utöver sanktionsavgifterna vid brott mot GDPR, blev banken även skyldig till att åtgärda bristerna inom sex månader.
AvtalGDPR.se
Vi skriver och granskar avtal och dokument som företag behöver enligt GDPR. Dessutom har vi skapat hemsidan www.AvtalGDPR.se där vi har samlat information om GDPR. Det är ett brett område och det är mycket att tänka på för företagare. Du kan till exempel läsa om när företag behöver göra en konsekvensbedömning. GDPR är en EU-förordning som gäller för alla företag, myndigheter och organisationer som behandlar personuppgifter i EU och EES-länderna. I Sverige är det IMY som är tillsynsmyndighet i ärenden om GDPR och de bytte namn från att ha hetat Datainspektionen tidigare. GDPR ersatte personuppgiftslagen som gällde tidigare i Sverige.
Här kan du läsa mer om detta ärendet via European Data Protection Boards hemsida.
