Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (AEPD) har bötfällt stormarknadskedjan Mercadona S.A. med 170 000 euro för överträdelse av artiklarna 6, 12 och 15 i dataskyddsförordningen (GDPR).
Av beslutet framgår att den registrerade råkat ut för en olycka i en av Mercadonas butiker som övervakades på video av företaget. I syfte att kräva skadestånd från Mercadona begärde den registrerade tillgång till videofilmen efter olyckan via ett kontaktformulär online som tillhandahölls av företaget. Samma dag fick den registrerade ett automatiskt svar från Mercadona om att hennes meddelande skickats med framgång. Därefter lämnade den registrerade också in ett klagomål till Mercadona om olyckan via e-post, som innehöll namn, e-postadress, telefonnummer, en beskrivning av olyckan och de skador hon lidit. Mercadona svarade på detta e-postmeddelande genom att ge ett referensnummer för ärendet.
Under AEPD:s utredning visade det sig att begäran om tillgång inte nått dataskyddsombudet på grund av ett mänskligt fel i hanteringen av ärendet. Dessutom kompenserade Mercadona den registrerade under förfarandet, vilket ledde till att den registrerade drog tillbaka sitt klagomål till AEPD. AEPD beslutade dock att fortsätta utredningen på egen hand (ex officio) och fatta ett beslut. Mercadona invände mot detta tillvägagångssätt och hävdade att AEPD tidigare lagt ned förfaranden i liknande fall där endast överträdelser av artiklarna 15-22 GDPR varit aktuella.
Efter en genomgång av ärendet drog AEPD först slutsatsen att myndigheten inte var bunden av parternas uppgörelse och inte heller av att den registrerade dragit tillbaka sitt klagomål. AEPD ansåg att myndigheten hade rätt att fortsätta utredningen med hänvisning till nationell rätt. Vidare konstaterade AEPD att ersättningen till den registrerade inte befriade Mercadona från sitt ansvar till följd av överträdelserna av dataskyddsförordningen. Vidare avvisade AEPD Mercadonas argument att myndigheten borde ha avskrivit ärendet eftersom den påstods ha gjort det i tidigare liknande fall. AEPD konstaterade att detta ärende redan skiljer sig från de tidigare ärendena eftersom det inte bara handlar om en överträdelse av artikel 15 i GDPR utan även artikel 6 i GDPR.
AEPD ansåg därutöver att Mercadona brutit mot artiklarna 12 och 15 GDPR genom att inte svara på begäran om tillgång. AEPD fann att skyldigheten enligt artikel 6 i instruktion 1/2006 att radera videomaterial efter senast en månad strider mot skyldigheten att besvara en begäran om tillgång senast en månad efter det att den mottagits enligt artikel 12.3 GDPR. AEPD drog därmed slutsatsen att ansvaret för att besvara en begäran om tillgång enligt GDPR har företräde, eftersom en personuppgiftsansvarig annars alltid skulle kunna kringgå den registrerades rätt till tillgång genom att åberopa raderingsskyldigheten enligt instruktion 1/2006.
Slutligen ansåg AEPD att Mercadona brutit mot artikel 6 GDPR eftersom företaget raderat videomaterialet utan rättslig grund. AEPD konstaterade att inget av kraven i artikel 6.1 GDPR var uppfyllda. AEPD motiverade detta med att den registrerades intresse av att få tillgång till videofilmen som bevis, som en del av rätten till ett effektivt rättsmedel enligt den spanska konstitutionen, vägde tyngre än dataskyddsaspekterna och den personuppgiftsansvariges skyldighet att radera videofilmen inom en månad enligt instruktion 1/2006. För att stärka sitt resonemang hänvisade AEPD till den motsatta situationen där en personuppgiftsansvarig enligt artikel 6.1 (f) GDPR har rätt att behålla videofilmerna under en längre period än en månad för att försvara sig mot ett krav.
Mot denna bakgrund bötfällde AEPD Mercadona med 70 000 euro för att ha brutit mot artiklarna 12 och 15 GDPR genom att inte svara på den registrerades begäran om tillgång till uppgifter, och med 100 000 euro för att ha brutit mot artikel 6 GDPR genom att ha raderat videofilmer utan rättslig grund (totalt 170 000 euro).
När AEPD fastställde bötesbeloppet ansåg myndigheten bland annat som försvårande omständigheter att den registrerade inte kunde använda videofilmen för att hävda sina krav mot Mercadona, att Mercadona reagerade först efter raderingen, och att de bilder av den registrerade som behandlades var känsliga uppgifter (även om de inte var uppgifter av särskilda kategorier enligt artikel 9 GDPR). Dessutom ansåg AEPD att Mercadonas avsaknad av tidigare överträdelser inte utgör en förmildrande omständighet, medan tidigare överträdelser utgör en försvårande omständighet enligt artikel 82.2 (e) GDPR.