Agencia Española de Protección de Datos (AEPD) har utfärdat en sanktionsavgift på 30 000 euro mot en elleverantör för överträdelser av dataskyddsförordningen (GDPR) vid felaktig behandling av en registrerads personuppgifter.
Bakgrund
Elleverantören initierade ett leverantörsbyte för en registrerad efter att ha ingått ett avtal med en tredje part som tillhandahöll en felaktig CUPS-identifierare, vilket är en unik identifierare för elanslutningspunkter. Identifieraren motsvarade en annan registrerads elanslutningspunkt, vilket ledde till att elleverantören byttes ut för fel person. Den registrerade hade inte begärt något byte och invände när personen underrättades om detta. Elleverantören hävdade att felet härrörde från den tredje partens uppgifter och att man hade förlitat sig på dessa.
Myndighetens bedömning
AEPD konstaterade att elleverantören hade åsidosatt principen om uppgifternas riktighet enligt artikel 5.1 (d) GDPR genom att förlita sig på en felaktig identifierare utan att kontrollera att uppgifterna var korrekta. Myndigheten noterade att CUPS-identifieraren är lång och felbenägen, vilket är en risk som elleverantören borde ha beaktat.
Vidare konstaterade AEPD att behandlingen saknade rättslig grund enligt artikel 6.1 GDPR. Den registrerade hade varken samtyckt till behandlingen eller ingått något avtal med elleverantören, vilket innebar att det inte förelåg någon giltig grund för att behandla dennes personuppgifter. AEPD underströk också att personuppgiftsansvariga inte kan förlita sig enbart på uppgifter från tredje part utan är skyldiga att självständigt verifiera att personuppgifterna är korrekta innan behandling inleds.
Sanktionsavgiften fastställdes till 30 000 euro med beaktande av det vårdslösa beteendet och konsekvenserna för den registrerade.
Praktiska konsekvenser
Beslutet visar att personuppgiftsansvariga inte kan friskriva sig från ansvar genom att hänvisa till fel i tredje parts uppgifter. Organisationer som behandlar personuppgifter baserade på externa identifierare eller uppgifter från samarbetspartners måste säkerställa att uppgifterna är korrekta innan behandling inleds. Beslutet understryker också att varje behandling av personuppgifter måste vila på en giltig rättslig grund enligt artikel 6.1 GDPR, även när behandlingen initieras till följd av ett affärsavtal med en tredje part.
Relaterad expertis
TechLaw bistår verksamheter i frågor som rör dataskydd, personuppgiftsansvar och regelefterlevnad enligt GDPR. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor om hur dataskyddsreglerna påverkar er verksamhet är ni välkomna att kontakta oss.
Källa: AEPD.