Agencia Espanola Proteccion Datos (AEPD) har tillrättavisat polisen för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framkom att en registrerad, vid ett besök på en polisstation, såg anteckningsblock på huvuddisken. Dessa innehöll personuppgifter om både medborgare som besökte polisstationen och poliser som arbetade på polisstationen. Personuppgifterna i dessa anteckningsblock innehöll bland annat förnamn, efternamn, ID-nummer, datum med mera. Dessa anteckningsblock innehöll också några papper med inrikesministeriets logotyp. Det visade sig senare att anteckningsblocken var gjorda av återvunnet papper.
Den 22 juni 2022 lämnade den registrerade in ett klagomål mot General Directorate of Police (den personuppgiftsansvarige). Den registrerade tillhandahöll foton av dessa anteckningsblock till AEPD, som inledde en utredning. När den personuppgiftsansvarige också underrättades lämnade dess dataskyddsombud en rapport där det bland annat hävdades att sidorna endast återanvändes efter deras officiella användning eftersom de endast innehöll anteckningar på ena sidan. I det specifika fallet fanns det inga bevis för att de avslöjade uppgifterna hade läckt ut från någon av polisens databaser.
AEPD ansåg att dessa fakta utgjorde ett dataintrång. AEPD upprepade dock också att ett sådant brott inte innebär att dataskyddsmyndigheten automatiskt skulle införa en sanktion. AEPD fastställde att det var nödvändigt att analysera både den personuppgiftsansvariges aktsamhet och de åtgärder som skulle förhindra att överträdelsen inträffade.
För det första, när det gäller artikel 5.1 (f) GDPR, bevisades det att personuppgifterna i de återvunna anteckningsblocken olovligen hade lämnats ut till tredje part eftersom anteckningsblocken var synliga för både anställda och poliser från den polisstationen.
För det andra, med avseende på artikel 32 GDPR, ansåg AEPD att den personuppgiftsansvarige inte vidtagit lämpliga åtgärder när överträdelsen inträffade. Trots att den personuppgiftsansvarige vidtagit flera åtgärder, till exempel fyra pappersförstörare och interna rutiner för att radera polisdokument, var dessa uppenbarligen ändå inte tillräckliga, eftersom de dokument som innehöll personuppgifter inte förstördes utan i stället användes som återvunna anteckningsblock.
Slutligen konstaterade AEPD överträdelser av artiklarna 5.1 (f) och 32 GDPR. Även om dessa överträdelser ansågs allvarliga av AEPD, erinrade dataskyddsmyndigheten också om att det i nationell lagstiftning anges att offentliga enheter inte kan bestraffas med böter. Därför gav AEPD den personuppgiftsansvarige endast en reprimand.