Agencia Espanola Proteccion Datos (AEPD) har utfärdat en saktionsavgift på 1 200 euro mot Blu Management Spain, S.L. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att den registrerade lämnat in ett klagomål till AEPD mot rekryteringsbyrån Blu Management för att obehörigt ha lämnat ut hennes personuppgifter. Enligt klagomålet deltog den registrerade i en telefonintervju. Därefter fick den registrerade flera WhatsApp-meddelanden från en tredje part som hävdade att intervjuaren på Blu Management delat den registrerades namn och telefonnummer.
Den registrerade kontaktade Blu Management för att fråga om det obehöriga utlämnandet och lämnade in både en begäran om radering av uppgifter och en begäran om tillgång till uppgifter. Som svar hävdade Blu Management att företaget endast har tillgång till de personuppgifter som ingick i hennes CV, till ex exempel identifikationsuppgifter, akademisk bakgrund och yrkeserfarenhet, och gav henne en kopia. Blu Management uppgav också att företaget raderat alla personuppgifter som rörde den registrerade, inklusive e-postmeddelanden, meddelanden och annan kommunikation.
AEPD ansåg att det inträffade utgjorde en personuppgiftsincident enligt definitionen i artikel 4.12 GDPR och en överträdelse av principen om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR. Sanktionsavgiften uppgick ursprungligen till 2 000 euro, men sänktes till 1 200 euro efter att Blu Management gjort en omgående betalning och erkänt sitt ansvar för överträdelsen.