Agencia Española de Protección de Datos (AEPD) har utfärdat en sanktionsavgift på 100 000 euro mot Goldcar Spain S.L. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en person gjort en bokning på biluthyrningsföretaget Goldcars webbplats för att hyra en bil, men senare nekades detta på grund av en uppgift i Goldcars databas om ett tidigare hyresavtal som hade undertecknats tre år tidigare. Enligt Goldcar hade den registrerade då lämnat över bilnycklarna till en tredje person, vilket ledde till att bilen försvann och senare återfanns i Polen.
Den registrerade lämnade in ett klagomål till AEPD och hävdade att Goldcar hade kopplat samman uppgifter från den tidigare incidenten via ett internt varningssystem utan den registrerades samtycke. Detta hade också lett till att den registrerade hindrades från att få tillgång till Goldcars tjänster. Företaget behandlade därmed personuppgifter utan rättslig grund.
Goldcar hävdade att de följde den dataskyddslagstiftning som gällde vid tidpunkten för incidenten, eftersom denna inträffade innan GDPR trädde i kraft. Enligt företaget behövde de därför inte informera den registrerade om den rättsliga grunden. De hävdade även att behandlingen i varningssystemet baserades på företagets berättigade intresse av att motverka bedrägeri och skador på hyrbilar.
AEPD konstaterade att Goldcar varken kunde åberopa avtal enligt artikel 6.1 (b) GDPR eller berättigat intresse enligt artikel 6.1(f) GDPR som rättslig grund. Även om bedrägeribekämpning kan vara ett berättigat intresse ansåg AEPD att den registrerades rättigheter och friheter vägde tyngre i detta fall. Dessutom hade Goldcar inte genomfört någon intresseavvägning.
AEPD noterade även att Goldcar hade berövat den registrerade rätten att få information om den rättsliga grunden, vilka berättigade intressen som åberopades samt att uppgifterna behandlades i ett varningssystem. Detta innebar att den enda möjliga rättsliga grunden var samtycke. AEPD drog slutligen slutsatsen att Goldcar inte hade inhämtat något sådant samtycke och därför behandlade personuppgifterna utan rättslig grund.