Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (AEPD) har bötfällt ett icke namngivet företag med 500 000 euro för överträdelse av artikel 13 i dataskyddsförordningen (GDPR).
Av beslutet framgår att polismyndigheten i Baskien skickat en anmälan om en påstådd överträdelse av dataskyddsbestämmelserna. Enligt AEPD har företagets kunder tvingats lämna sina uppgifter, både skriftligen och genom att tillhandahålla en kopia av dokumentation, för att boka ett möte med företaget för ansökan om utnämning hos den nationella polisen. Företaget gav dock enligt AEPD inte sina kunder all den information som krävs enligt artiklarna 13 och 14 GDPR.
AEPD konstaterade därför, med de bevis som fanns tillgängliga, att företaget brutit mot artikel 13 GDPR. I korthet klargjorde AEPD att när en person kommer till ett företag och personuppgifter begärs, måste den personuppgiftsansvarige tillhandahålla all den information som fastställs i artikel 13 GDPR på ett enkelt sätt. Följaktligen stred företaget insamling av personuppgifter mot artikel 13 GDPR.
Mot denna bakgrund ålade AEPD företaget böter på 500 000 euro för överträdelsen och uppgav som förmildrande omständigheter bland annat att företagets verksamhet inte hade någon koppling till behandlingen av personuppgifter. AEPD konstaterade dessutom att myndigheten kan komma att kräva att det ansvariga företaget anpassar behandlingen av personuppgifter så att den överensstämmer med dataskyddsbestämmelserna. Om företaget inte uppfyller dessa krav kan detta enligt AEPD betraktas som en administrativ överträdelse i enlighet med bestämmelserna i dataskyddsförordningen, vilket kan motivera att ett senare administrativt sanktionsförfarande inleds.