Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 72 000 euro mot Eurocollege Oxford English Institute S.L. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en elev anmält Eurocollege Oxford English Institute, ett utbildningscenter för flygpersonal, till AEPD för att ha krävt elevens hälsouppgifter, medicinskt intyg, utdrag från brottsregistret och andra personuppgifter som inte var relevanta eller motiverade för kursen. Eleven begärde också en återbetalning av kursavgiften, men utbildningscentret vägrade.
AEPD ansåg att utbildningscentret brutit mot flera bestämmelser GDPR och den spanska lagen om personuppgifter och digitala rättigheter (LOPDGDD). Utbildningscentret har bland annat inte haft någon rättslig grund för att behandla elevens hälsouppgifter och utdrag från brottsregistret, inte informerat eleven korrekt om elevens rättigheter, och inte begränsat behandlingen till det som var nödvändigt för kursens syfte, vilket strider mot principen om uppgiftsminimering enligt artikel 5.1 (c) GDPR och kravet på rättslig grund enligt artiklarna 6.1 och 9.2 GDPR.