Az eddigi tapasztalatok alapján a spanyol adatvédelmi hatóság (AEPD) gyakran nyúl a bírságolás eszközéhez. A GDPR bírságokat nyomon követő weboldal (GDPR Enforcement Tracker) jelen poszt írásakor összesen 530 bírságot tart számon, amelyek közül 175 a spanyol adatvédelmi hatósághoz köthető. (A bírságok kiszabásának üteme nem lassul, legutóbb szeptemberben írtam az AEPD által kiszabott bírságokról, az összesítés akkor 132 bírságoló határozatot tartalmazott.)
Korábban azt mondhattuk, hogy - bár gyakran alkalmazza ezt a szankciót -, a bírságok összegét tekintve a spanyol hatóság nem tartozik a gigabírságokat kiszabó hatóságok közé, az általa kiszabott bírságok jellemzően a néhány ezer euróstól a pár százezer eurós összegig terjednek. Az elmúlt bő egy hónapban azonban megjelent két, pénzügyi szolgáltatókra bírságot kiszabó határozat, amely jelentősen nagyobb összegű bírságot szabott ki az érintett adatkezelőkre a korábbiakhoz képest.
Decemberben a Banco Bilbao Vizcaya Argentaria, S.A. (BBVA) tekintetében szabott ki 5 millió euró összegű bírságot az AEPD. A bírság részben a tájékoztatáshoz való jog megsértése miatt került megállapításra (GDPR 13. cikkének megsértése), részben pedig a marketing tartalmú üzenetek küldése kapcsán hiányzó hozzájárulás, illetve a hozzájárulások kezelésének hiányzó mechanizmusa miatt (GDPR 6. cikk). A tájékoztatáshoz való jog sérelmét elsősorban az okozta, hogy a tájékoztatás nem tartalmazta kellően pontosan a kezelt adatok kategóriáit, különösen a termékek és szolgáltatások kapcsán gyűjtött adatokról. (A BBVA egyébként több kisebb bírságot is kapott 2020-ban, ezek azonban messze elmaradtak a december elején kiszabott bírásg összegétől.)
Nem kellett sokáig várni a következő több millió eurós bírságról szóló hírre, január közepén a Caixabank S.A. kapott 6 millió eurós büntetést. Ebben az esetben is a GDPR 6. és 13. cikkeinek, továbbá a 14. cikknek a megsértése szolgált az intézkedés alapjául. A tájékoztatáshoz való jog megsértése kapcsán - többek között - megállapította a hatóság, hogy az adatkezelő által alkalmazott különböző tájékoztatók nem voltak egységesek, pontatlan megfogalmazásokat tartalmaztak és a megőrzési időkre, valamint az adatkezeléssel kapcsolatos érintetti jogokra vonatkozó tájékoztatás nem volt elégséges. Az adatkezelés jogalapjával kapcsolatos hiányosságok körében kiemelte az AEPD, hogy a Caixabank nem támasztotta megfelelően alá az adatkezelés jogszerűségét, különösen a jogos érdeken alapuló adatkezelések esetében, továbbá a hozzájárulások megszerzése kapcsán nem felelt meg az érvényes hozzájárulások tekintetében támasztott követelményeknek. A hozzájárulások hiányosságai miatt a csoporton belüli adattovábbítások is jogszerűtlenül történtek.
A fenti bírságok is rávilágítanak, hogy az adatkezelőknek egyre komolyabb jogkövetkezményekkel kell számolniuk az adatvédelmi megfelelés hiányosságai miatt. Fontos kiemelni, hogy a fenti esetekben olyan rendszerszinten megjelenő hibákat tárt fel a hatóság (tájékoztatás nem megfelelő tartalma, adatkezelés jogszerűségének biztosítása kapcsán felmerülő folyamati, rendszerszintű problémák), amelyek az érintettek széles körére lehettek hatással. Érdemes ezzel kapcsolatban a beépített és alapértelmezett adatvédelem elveire is figyelemmel lennie az adatkezelőknek, mivel ezek következetes alkalmazása hozzájárulhat a rendszerszintű hibák megelőzéséhez.
