Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 32 000 euro mot ett hotell för otillräckliga säkerhetsåtgärder i strid med dataskyddsförordningen (GDPR).
Av beslutet framgår att en registrerad lämnade in en klagomål till AEPD. Klagomålet rörde att säkerhetspersonal vid hotellet rutinmässigt hade lämnat handlingar med personuppgifter obevakade på sina postplatser, där dessa handlingar var synliga för förbipasserande och i vissa fall fotograferades. De insända fotografierna visade listor med uppgifter om boende och ägare, inklusive bland annat namn, telefonnummer och identifikationsnummer (DNI/pass).
AEPD konstaterade att den dagliga hanteringen av handlingarna innebar att personuppgifter blev tillgängliga för obehöriga tredje parter och att hotellet därmed hade åsidosatt principen om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR, eftersom tillräckliga organisatoriska åtgärder för att skydda uppgifterna saknades.
Den ursprungliga sanktionsavgiften fastställdes till 40 000 euro men reducerades till 32 000 euro efter att hotellet erkänt överträdelsen och gjort en omedelbar betalning.
Beslutet tydliggör att fysiska rutiner för hantering av personuppgifter omfattas av GDPR:s krav på konfidentialitet. Organisationer måste säkerställa att dokument som innehåller personuppgifter inte lämnas obevakade och att personalen har tydliga rutiner för förvaring och hantering. Brister i vardagliga arbetsrutiner kan medföra såväl sanktionsavgifter som krav på åtgärder från tillsynsmyndigheten.
TechLaw bistår organisationer med rådgivning kring dataskydd, informationssäkerhet, incidenthantering och organisatoriska rutiner för hantering av personuppgifter. Läs mer om vår expertis inom dataskydd och integritet.
Behöver ni stöd i dataskyddsfrågor är ni välkomna att kontakta oss.
Källa: AEPD.