Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (“AEPD”) har bötfällt Automecanica Jerez, S.L. med 4 000 euro för brott mot artiklarna 5.1 (f) och 32 i dataskyddsförordningen (“GDPR”) samt artikel 21 i direktivet om integritet och elektronisk kommunikation (“LSSI”).
Av beslutet framgår att Automecanica Jerez skickat kommersiella e-postmeddelanden till ett stort antal personer utan deras samtycke. E-postmeddelandena innehöll mottagarnas personuppgifter, som till exempel efternamn, förnamn och e -postadress. Eftersom samtliga mottagare kunde se varandras uppgifter ansåg AEPD att Automecanica Jerez agerat i strid med principen om integritet och konfidentialitet i artikel 5.1 (f) GDPR.
AEPD ansåg vidare att Automecanica Jerez inte implementerat lämpliga tekniska och organisatoriska åtgärder för att säkerställa en tillräcklig säkerhetsnivå vid behandling av personuppgifter varför företaget även brutit mot artikel 32 GDPR. Slutligen ansåg AEPD att Automecanica Jerez brutit mot artikel 21 LSSI.