Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (AEPD) har bötfällt Lia’s Clothes med 1 800 euro för överträdelse av artiklarna 6.1 och 13 i dataskyddsförordningen (GDPR), samt artikel 22.2 i den spanska lagen om informationssamhällets tjänster och elektronisk handel (LSSI).
Av beslutet framgår att en registrerad lämnat in ett klagomål mot Lia’s Clothes, en klädbutik på nätet. Enligt klagomålet hade webbplatsen inte någon lämplig integritetspolicy eller cookie-banner. AEPD inledde en utredning och konstaterade att när de registrerade uppmanades att ange sina personuppgifter fanns det ingen information om skyddet av personuppgifter eller någon länk till en integritetspolicy. AEPD konstaterade vidare att när en registrerad går in på webbplatsen så används icke-essentiella cookies som Google Analytics utan att det finns en lämplig banner som informerar de registrerade om användningen av cookies, möjligheten att avvisa cookies eller ge sitt samtycke till cookies på ett specifikt sätt.
Enligt AEPD har Lia’s Clothes brutit mot artikel 6.1 GPDR genom att behandla personuppgifter utan den registrerades frivilliga, specifika och informerade samtycke eller någon annan giltig rättslig grund. AEPD ansåg också att Lia’s Clothes brutit mot sin skyldighet enligt artikel 13 GDPR att ge de registrerade information om behandlingen av deras personuppgifter när de samlas in, särskilt genom att inte ha någon integritetspolicy och genom att inte lämna några uppgifter om vem som är personuppgiftsansvarig för personuppgifterna.
Slutligen ansåg AEPD att Lia’s Clothes användning av icke-essentiella cookies utan att ha en cookiebanner stred mot artikel 22.2 LSSI, där det fastställs att tydlig och fullständig information om användningen av cookies och syftet med behandlingen måste ges till de registrerade, liksom möjligheten att avvisa icke-essentiella cookies.
Med hänsyn till att Lia’s Clothes ägdes av en privatperson utfärdade AEPD böter på 1 000 euro för var och en av de tre ovannämnda överträdelserna, vilket ger ett totalt bötesbelopp på 3 000 euro. Eftersom privatpersonen frivilligt betalade böterna och uttryckligen accepterade sitt ansvar sänktes böterna till 1 800 euro. AEPD beordrade också ägaren till Lia’s Clothes att implementera en lämplig integritetspolicy och en cookie-banner för att följa GDPR och nationella bestämmelser om dataskydd.