Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 2 000 euro mot en bostadsförening för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att bostadsföreningen satt upp en förteckning över de ägare i fastigheten som hade skulder till föreningen i en låst anslagstavla i fastighetens lobby. Gäldenärerna kunde identifieras genom hänvisning till ett andra meddelande som också sattes upp på anslagstavlan och som innehöll en förteckning över de ägare som hade deltagit i ett föreningsmöte. Listan var också exponerad för många personer som inte var medlemmar i bostadsföreningen, eftersom över hundra av lägenheterna i byggnaden beboddes av turister på kortare vistelser.
En grupp om tio ägare i byggnaden lämnade in ett klagomål till AEPD. Under utredningen hävdade bostadsföreningen att eftersom gäldenärerna endast identifierades på listorna genom lägenhetsnummer hade ingen överträdelse av GDPR skett.
AEPD avvisade bostadsföreningens påstående att GDPR inte var tillämplig på behandlingen i fråga. AEPD konstaterade att noteringen av lägenhetsnumret gjorde det möjligt att identifiera ägarna och därmed utgjorde personuppgifter, vilket gjorde att GDPR var tillämplig. AEPD ansåg att bostadsföreningen brutit mot principen om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR genom att inte säkerställa lämplig säkerhet för personuppgifterna.