Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 50 000 euro mot Conecta 5 Telecinco för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att den registrerade var offer för ett brott som medierna i Spanien rapporterat om. Under rättegången vittnade den registrerade om detaljerna i brottet. Telecinco, den personuppgiftsansvarige, och andra mediekanaler släppte det ursprungliga ljudet utan att förvränga den registrerades röst.
AEPD inledde en utredning efter ett klagomål och beordrade Telecinco att ta bort den registrerades röst från sin webbplats. Som svar hävdade Telecinco att enbart den hypotetiska möjligheten att peka ut en person inte är tillräcklig för att betrakta personen som identifierbar. Med hänsyn till alla medel som rimligen kan användas av Telecinco eller någon annan person ansåg företaget att en sådan möjlighet inte fanns eller var försumbar. Rösten kunde därför inte betraktas som personuppgifter. Telecinco hävdade också att den ursprungliga källan till uppgifterna var domstolen, som distribuerade inspelningen till alla mediekanaler, utan att tillämpa någon föregående röstförvrängning eller ge några instruktioner i detta avseende. Slutligen hävdade Telecinco att bevakningen av brott är av allmänt intresse och att en begränsning av publiceringen skulle inkräkta på deras yttrandefrihet.
AEPD konstaterade att rösten är en personuppgift eftersom den gör det möjligt att identifiera en person, oavsett hur många personer som kan känna igen den. AEPD betonade att det är ett individuellt attribut som definieras av tonhöjd, intensitet och klangfärg. Enligt AEPD har rösten unika och unika särdrag som gör det möjligt att härleda inte bara till personens ålder, kön och hälsotillstånd utan också till hans eller hennes sätt att vara, kultur, ursprung och hormonella, känslomässiga och psykiska tillstånd. I denna mening är även uttryckssätt, idiolekt och intonation personuppgifter som betraktas tillsammans med rösten. Det framhölls att i enlighet med skäl 75 GDPR ska risk tolkas som varje omständighet som kan ge upphov till en skada, utan att denna skada behöver förverkligas.
I det aktuella fallet fanns det en hög risk för att offret skulle identifieras åtminstone i sin närmaste krets och sedan utsättas för en andra viktimisering. AEPD klargjorde att föremålet för utredningen var mediernas spridning av offrets röst och inte andra behandlingar av personuppgifter, såsom de som utförs av domstolen. AEPD bekräftade på nytt Telecincos ställning som personuppgiftsansvarig eftersom det var Telecinco som beslutade vilka uppgifter som skulle offentliggöras och hur. AEPD noterade att när det finns en behandlingskedja, dvs. olika och efterföljande behandlingar som utförs av olika personuppgiftsansvariga, är varje personuppgiftsansvarig ansvarig för de beslut som den fattar inom sin egen sfär när det gäller behandlingen. Den personuppgiftsansvariga kan inte förlita sig på vad den föregående personuppgiftsansvariga gjort för att undantas från ansvar, precis som den personuppgiftsansvariga inte kommer att hållas ansvarig för de beslut som fattas av den personuppgiftsansvariga längre ner i kedjan.
Slutligen erinrade AEPD om ett beslut från den spanska författningsdomstolen (27/2020), där domstolen analyserat huruvida det icke samtyckesbaserade reproducerandet av bilden av en anonym person som plötsligt och ofrivilligt fick en roll i en nyhetsvärderande händelse, i detta fall som offer, kränkte deras individuella rättigheter. Domstolen ansåg att gränsen för yttrandefriheten och tillgången till information ligger i individualiseringen, direkt eller indirekt, av offret, eftersom dessa uppgifter varken ligger i allmänhetens intresse eller är relevanta för den information som tillhandahålls. På samma sätt konstaterade AEPD att även om de fakta som analyserats var relevanta för allmänheten, var offrets identitet inte relevant, särskilt eftersom de inte är en offentlig person.
AEPD fann därför att Telecinco behandlat uppgifter som var alltför omfattande för att informera allmänheten och har utfärdat en sanktionsavgift på 50 000 euro för brott mot artikel 5.1 (c) GDPR.
TechLaw bistår verksamheter i frågor som rör dataskydd, uppgiftsminimering och behandling av personuppgifter i mediala sammanhang. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor är ni välkomna att kontakta Carina Berg, partner och jurist specialiserad inom dataskydd och affärsjuridik i teknikintensiva verksamheter.
Källa: AEPD.