Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 75 000 euro mot en personuppgiftsansvarig för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att AEPD inlett en utredning mot ägaren av en pornografisk webbplats på grund av möjlig behandling av personuppgifter och profilering av minderåriga under 14 år. Under utredningen konstaterades flera överträdelser av GDPR.
Enligt AEPD fastställs i artikel 5.1 (a) GDPR att personuppgifter måste behandlas på ett lagligt, rättvist och öppet sätt. I det aktuella fallet noterade AEPD en brist på tydlighet om vilka användaruppgifter som samlades in och för vilka ändamål. AEPD konstaterade att tillhandahållandet av motsägelsefull, oklar och felaktig information motarbetade öppenhetsprincipen, även om den nödvändiga informationen tekniskt sett tillhandahölls i integritetspolicyn. AEPD påpekade att medan GDPR kräver föräldrarnas samtycke för barn under 16 år, kräver den spanska LOPDGDD det för barn under 14 år. Eftersom det inte fanns några effektiva mekanismer för att kontrollera användarnas ålder konstaterade AEPD att det även rörde sig om en överträdelse av artikel 8 GDPR.
Enligt AEPD ska en cookie-banner innehålla tydlig och kortfattad information om vilka cookies som används och hur användarna kan acceptera, konfigurera eller avvisa användningen av dem. Användaren ska kunna lämna ett uttryckligt samtycke till cookies som inte är strikt nödvändiga. I det aktuella fallet konstaterade AEPD att avsaknaden av en sådan banner på webbplatsen och användningen av cookies från tredje part utan föregående samtycke stred mot artikel 22.2 LSSI.
Enligt AEPD kräver principen om ändamålsbegränsning, som föreskrivs i artikel 5.1 (b) GDPR, att personuppgifter samlas in för specifika, uttryckliga och legitima ändamål och inte behandlas på ett sätt som är oförenligt med dessa ändamål. AEPD konstaterade att den personuppgiftsansvarige brutit mot denna princip genom att behandla personuppgifter för ett annat ändamål än det som anges i dess integritetspolicy. Vidare konstaterade AEPD en överträdelse av artikel 5.1 (e) GDPR för att personuppgifter om registrerade användare bevaras på obestämd tid och en överträdelse av artikel 13 GDPR för att inte tillhandahålla information om lagringsperioden i sin integritetspolicy.
Slutligen ansåg AEPD att kravet på uppvisande av legitimation som ett villkor för utövandet av registrerades rättigheter strider mot artikel 12.2 GDPR, där det fastställs att den personuppgiftsansvarige ska underlätta detta. Dessutom ansåg AEPD att den personuppgiftsansvariges systematiska överträdelse av dataskyddsreglerna också utgör en överträdelse av skyldigheten att implementera inbyggt dataskydd och dataskydd som standard enligt artikel 25 GDPR.