Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 2 000 euro mot en privatperson för överträdelser av dataskyddsförordningen (GDPR). AEPD beslutade dock att lägga ner ärendet eftersom myndigheten inte kunde verifiera privatpersonens identitet.
Av beslutet framgår att en registrerad lämnat in flera klagomål till AEPD avseende en video med den registrerades bild och röst som delades på sociala medieplattformar utan den registrerades samtycke. Klagomålen rörde ett stort antal användare på Twitter, Youtube, Instagram och pacot.es som publicerat eller ompublicerat videon eller dess innehåll.
Videon publicerades först av en användare på Twitter och blev till slut viral och nådde över 440 000 retweets eller reposts av dess innehåll. I september 2022 publicerade en användare på pacot.es, en spansk webbplats för sociala medier, videon på nytt med en länk till det ursprungliga Twitterinlägget. Andra användare på pacot.es kommenterade videon, bland annat med skärmdumpar av den som innehöll den registrerade och med den registrerades namn.
I ett försök att identifiera personerna bakom kontona på sociala medier begärde AEPD information om användare från pacot.es. Webbsidan svarade att den inte behöll några personuppgifter från sina användare förutom deras e-postadresser och ip-adressen för den senaste åtkomsten som användaren gjorde. Utifrån dessa uppgifter identifierade AEPD en personuppgiftsansvarig. De två ip-adresserna pekade dock på olika personer.
I mars 2023 skrev den identifierade personuppgiftsansvarige till AEPD. Han medgav att han var kontoinnehavare, men hävdade att han inte var upphovsman till inlägget och att han inte hade tillgång till sidan under den aktuella tidsperioden. Han hävdade att han inte mindes att han hade gått in på forumet och att hans konto verkar ha blivit hackat. Han noterade att pacot.es ofta utsatts för klagomål om hackning.
I januari 2024 avslutade AEPD ärendet mot den personuppgiftsansvarige och konstaterade att denne brutit mot artikel 6 GDPR då den personuppgiftsansvarige delat en video som innehöll personuppgifter utan den registrerade personens samtycke, vilket utgjorde behandling av personuppgifter utan vederbörlig rättslig grund. AEPD utfärdade en sanktionsavgift mot den personuppgiftsansvarige med 2 000 euro.
Den personuppgiftsansvarige överklagade AEPD:s beslut. Den personuppgiftsansvarige hävdade att AEPD:s förfarande var bristfälligt och att kronologin och de faktiska omständigheterna i ärendet var felaktiga och begärde därför att beslutet skulle ogiltigförklaras.
Överklagandeinstansen för AEPD ansåg att eftersom det inte gick att kontrollera att ip-adresserna tillhörde samma person var det omöjligt att kontrollera att den personuppgiftsansvarige faktiskt var ansvarig för inlägget. Följaktligen kunde det inte vara säkert att den personuppgiftsansvarige behandlade de aktuella uppgifterna. Med tanke på att plattformen pacot.es sedan dess tagits bort från internet kunde AEPD inte fortsätta med nya utredningsinsatser. AEPD biföll därför den personuppgiftsansvariges överklagande.