Agencia Espanola Proteccion Datos (AEPD) har avvisat ett klagomål om påstådda överträdelser av artiklarna 4.1 och 19 i dataskyddsförordningen (GDPR) för publicering av ett foto av den registrerade utan samtycke på grund av brist på bevis.
Av beslutet framgår att ett byggföretag (den första personuppgiftsansvarige) utfört arbete i den registrerades lagerlokal. För att visa resultatet av sitt arbete laddade byggföretaget upp fotografier på sin webbplats som publicerats på ett annat företags, Digiman Alicante S.L (den andra personuppgiftsansvariges), webbplats och som avbildade byggarbetsplatsen. På ett av fotografierna satt den registrerade bakom en glasdörr med färgade rutor som delvis täckte dennes ansikte och kropp. Fotot publicerades av byggföretaget utan den registrerades samtycke.
Därefter begärde den registrerade tillgång till sina uppgifter från byggföretaget. Eftersom den registrerade inte fått något svar lämnade den registrerade in ett klagomål till AEPD. Byggföretaget hävdade att fotografiet försökte visa resultatet av de byggnadsarbeten som utförts i en byggnad som ägs av den registrerade. För att göra detta återanvände byggföretaget foton från Digiman Alicantes webbplats, med dennes samtycke. Följaktligen var det Digiman Alicante som borde ha bett den registrerade om samtycke före fortsatt behandling.
AEPD inledde ett sanktionsförfarande mot Digiman Alicante som hävdade att publiceringen av fotot inte innebar någon behandling av personuppgifter och att företaget inte hade godkänt användningen av fotot eller gett byggföretaget några personuppgifter som tillhörde den registrerade.
För det första erinrade AEPD om att enligt artikel 4.1 GDPR utgör bilden av en person en personuppgift eftersom den återspeglar utmärkande drag, såsom längd eller stil, som bidrar till att associera till en konkret person. Dessutom kan ett foto ge information om ålder, kön eller etnicitet, vilket gör det lättare att identifiera en person. AEPD hänvisade till artikel 4.2 GDPR där begreppet behandling definieras. Att publicera en persons bild på webbplatser måste därmed betraktas som behandling av personuppgifter.
För det andra noterade AEPD att fotografiet inte porträtterade den registrerade helt och hållet. Enligt nationell rättspraxis (Högsta domstolens dom i mål 1702/2000) kan ett foto av en person vars ansikte inte syns men som ändå kan identifieras genom konturerna leda till en kränkning av den registrerades grundläggande rätt till privatliv.
Eftersom fotona togs bort från webbplatsen som ett resultat av ett annat förfarande som involverade byggföretaget, påminde AEPD slutligen om artikel 19 GDPR, där det fastställs en skyldighet att anmäla rättelse eller radering av personuppgifter till varje mottagare till vilken personuppgifterna har lämnats ut. I det här fallet hade Digiman Alicante raderat uppgifterna under förfarandets gång men inte informerat byggföretaget, som var mottagare av fotot, om raderingen.
Efter att ha analyserat ärendet avvisade AEPD klagomålet mot Digiman Alicante eftersom det inte fanns tillräckliga bevis för att byggföretaget meddelat Digiman Alicante att fotografierna skulle publiceras på företagets webbplats. AEPD noterade dock ex officio att Digiman Alicante agerat i strid med artikel 19 GDPR genom att inte informera mottagarna om att fotot hade raderats.