Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 12 000 euro mot Novates Alimentacioón Madrid S.L. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en registrerad returnerat en produkt till Novates butik och fick tillbaka för mycket pengar. Vid ett nytt besök i butiken fick den registrerade se en övervakningsvideo från händelsen av en anställd vid hennes tidigare interaktion vid kassan. Inspelning av videon hade tagits med den anställdes privata mobiltelefon och skickades till den registrerade via WhatsApp. Även andra registrerade fanns med på videon. Den registrerade lämnade in ett klagomål till AEPD.
AEPD ansåg att det faktum att inspelningen gjorts med den anställdes mobiltelefon visade att material från övervakningskameror kunde nås av anställda som inte hade något ansvar för butikens säkerhet. AEPD noterade också att kamerabevakningssystement tillät inspelning med en sekundär enhet och var kritisk till användningen av WhatsApp som ett sätt att överföra materialet. Slutligen framhöll AEPD att materialet i fråga innehöll personuppgifter inte bara om den registrerade utan även om andra kunder i butiken, utan att några ansträngningar gjorts för att avidentifiera de registrerade innan materialet spreds.
AEPD konstaterade därför att Novates har brutit mot artikel 32 GDPR genom att inte vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder i samband med insamlingen och spridningen av videon. Sanktionsavgiften uppgick ursprungligen till 20 000 euro, men sänktes till 12 000 euro efter att Novates gjort en omgående betalning och erkänt sitt ansvar för överträdelsen.