Den belgiska dataskyddsmyndigheten, Gegevensbeschermingsautoriteit (“GBA”), har bötfällt ett parkeringsbolag med 50 000 euro för brott mot artiklarna 5.1 (c), 5.2, 12.1-3, 14.1-2, 15.1 och 24.1-2 i dataskyddsförordningen (“GDPR”).
Av beslutet framgår att parkeringsbolaget skrivit ut en parkeringsbot för en felparkering. Den registrerade uppger att någon parkeringsbot aldrig utfärdats utan att hen fått reda på överträdelsen i samband med att parkeringsbolaget skickat en påminnelse vidare till inkasso, som därefter krävde att den registrerade betalade såväl påminnelseavgiften som den ursprungliga parkeringsboten. Den registrerade kontaktade parkeringsbolaget och krävde bland annat information om vilken av hens personuppgifter som hade behandlats. Då parkeringsbolaget inte svarade på den registrerades begäran inom den tidsfrist som anges i GDPR skickade den registrerade in ett klagomål till tillsynsmyndigheten.
Under sina utredningar upptäckte GBA att parkeringsbolaget agerat i strid med flera bestämmelser i GDPR. För det första ansåg GBA att parkeringsbolaget inte tillhandahållit en korrekt integritetspolicy då policyn på parkeringsbolagets webbplats inte innehöll information om behandlingen av personuppgifter eller någon kontaktinformation till parkeringsbolaget. För det andra kränkte parkeringsbolaget den registrerades rätt till information genom att inte svara på den registrerades begäran om behandlingen av hens personuppgifter. Slutligen överträdde parkeringsbolaget principen om uppgiftsminimering genom att behandla den registrerades uppgifter i syfte att skicka en betalningspåminnelse en dag efter att parkeringsboten hade utfärdats, trots att den registrerade hade möjlighet att betala parkeringsboten direkt i samband med felparkeringen.