Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 20 000 euro mot Quality-Provider S.A för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Quality-Provider tillhandahåller datatjänster och behandlar personuppgifter som en del av sin kärnverksamhet. AEPD inledde, efter ett klagomål från en registrerad, ett förfarande för att utreda påstådda överträdelser av GDPR i samband med aktiviteter som utförts via Quality-Providers webbplats. Under utredningen begärde AEPD att Quality-Provider skulle tillhandahålla viss information och vissa dokument som rörde de undersökta omständigheterna.
Quality-Provider vägrade att tillhandahålla informationen och hävdade att begäran inte innehöll en kopia av den registrerades nationella id-kort, vilket hindrade den från att på ett tillförlitligt sätt identifiera personen och de berörda uppgifterna. AEPD beslutade därefter att genomföra en tillsyn på plats och informerade Quality-Provider om att dess företrädare skulle samarbeta med AEPD och underlätta tillgången till de aktuella uppgifterna. Quality-Provider vägrade att ge AEPD tillträde till företagets lokaler för en tillsyn på plats.
Enligt AEPD hindrade Quality-Provider myndighetens personal från att få tillgång till personuppgifter, information, lokaler, utrustning och medel för behandling, vilket var nödvändigt för utövandet av dess utredningsbefogenheter. AEPD konstaterade därför en överträdelse av artikel 58.1 GDPR och utfärdade en sanktionsavgift på 20 000 euro till Quality-Provider. Vid fastställandet av sanktionsbeloppet tog AEPD hänsyn till graden av avsiktlighet i brottet och även till kopplingen mellan företagets verksamhet och behandlingen av personuppgifter.