Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 600 euro mot en operatör av en mobilapplikation för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en registrerad ville bli en ”verifierad användare” av en mobilapplikation. Verifieringen gjorde det möjligt att abonnera på betaltjänster i appen. För att kunna göra detta krävde appen att den registrerade skulle lämna in en kopia av fram- och baksidan av dennes id-kort, som sedan skulle lagras i appens databas.
Enligt AEPD fanns det andra lika tillgängliga alternativ som app-operatören kunde ha använt, som exempelvis system för identitetsverifiering, som skulle ha varit mindre påträngande och inte krävt att den registrerades id-uppgifter sparades. AEPD konstaterade därför en överträdelse av principen om uppgiftsminimering enligt 5.1 (c) GDPR.
Sanktionsavgiften uppgick ursprungligen till 1 000 euro, men sänktes till 600 euro efter att app-operatören gjort en frivillig betalning och erkännande av ansvar för överträdelserna.