Agencia Espanola Proteccion Datos (AEPD) har bötfällt ett försäkringsbolag med 40 000 euro för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en registrerad lämnat in ett krav mot ett försäkringsbolag (den personuppgiftsansvarige) för att ha tillåtit ändringar i den registrerades sjukförsäkring. Försäkringspolicyn undertecknades ursprungligen 2016 och kopplades till den registrerade som försäkringstagare samt ägare till det bankkonto från vilket försäkringspremierna betalades. Den försäkrade var dock den registrerades tidigare partner.
I juni 2021 lämnade den registrerades tidigare partner in en begäran om att ändra uppgifterna om sjukförsäkringen, vilket banken (personuppgiftsbiträdet) gjorde. Uppgifterna som ändrades var försäkringstagarens namn och det bankkonto som försäkringspremierna var kopplade till, vilket gjorde det möjligt för den registrerades tidigare partner att själv betala försäkringsavgifterna. Dessa ändringar gjordes utan den registrerades samtycke.
Efter ett första klagomål från den registrerade till personuppgiftsbiträdet inkluderades den registrerade som försäkringstagare igen. Efter ytterligare ett klagomål återställdes deras bankkontonummer.
I augusti 2022 inledde AEPD ett sanktionsförfarande mot den personuppgiftsansvarige, vilket gjorde det möjligt att höra de inblandade parternas krav. Både den personuppgiftsansvarige och personuppgiftsbiträdet hävdade att de fått ett implicit samtycke från den registrerade eftersom deras ursprungliga önskan var att täcka sin partner och att deras skyldigheter hävdes genom att de förlorade sin status som försäkringstagare, vilket ansågs vara en förmodad fördel för den registrerade.
AEPD konstaterade inledningsvis att den registrerade inte godkänt ändringarna i försäkringsavtalet och att ingen av de rättsliga grunderna enligt artikel 6 GDPR kunde iakttas. Samtidigt krävde principen om laglig behandling av uppgifter att den personuppgiftsansvarige gjort en kontroll av samtycket till behandlingen av personuppgifter samt en rimlig omsorg för att bevisa detta. Att bara antyda att en registrerad skulle samtycka till en ändring av policyn kunde enligt AEPD inte på något sätt betraktas som en giltig rättslig grund. AEPD konstaterade därför att den personuppgiftsansvarige behandlat personuppgifter utan rättslig grund vilket strider mot artikel 6.1 GDPR.
På grundval av artikel 72.1 (b) i den nationella dataskyddslagen (LOPDGDD) och artiklarna 83.1 och 83.2 GDPR ansåg AEPD att det fanns försvårande omständigheter i ärendet. För det första saknades rättslig grund för behandlingen, vilket påverkade den grundläggande rätten till dataskydd. För det andra var den personuppgiftsansvarige ett av de största försäkringsbolagen i landet vars verksamhet var direkt kopplad till behandling av personuppgifter från kunder och tredje parter. Slutligen visade den personuppgiftsansvarige en allvarlig brist på vederbörlig omsorg och noggrannhet. De två sistnämnda faktorerna var förknippade med spansk rättspraxis (Högsta domstolen) om den högre grad av aktsamhet som tillskrivs företag vars verksamhet innefattar omfattande behandling av personuppgifter.
Mot denna bakgrund bötfällde AEPD den personuppgiftsansvarige med 40 000 euro, ett belopp som sänktes till 24 000 euro på grund av frivillig betalning och erkännande av skuld.