Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 5 000 euro mot Roca & Asociados y Economistas för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Roca & Asociados y Economistas publicerat namn och fotografier på sina anställda på företagets webbplats utan deras samtycke. En av företagets anställda lämnade därför in ett klagomål mot Roca & Asociados y Economistas till AEPD.
Roca & Asociados bestred påståendet och hävdade att den registrerade har samtyckt till att hennes bild publicerades genom att posera för fotot och tillhandahålla uppgifter från sitt CV som skulle användas i företagets profilavsnitt. Roca & Asociados y Economistas hade skickat ett e-postmeddelande till den registrerade inför fotograferingen där företaget skrev följande. ”I morgon tar vi fotografier på de nyanställda som vill ha fotografier”. E-postmeddelandet innehöll också en länk för att visa hur den vanliga stilen på fotografierna ser ut. Den registrerade hade också informerats om att hon kunde granska fotografierna innan publiceringen. Roca & Asociados y Economistas kompletterade sin argumentation med att den registrerade lagt ut samma uppgifter på sin LinkedIn-profil.
AEPD konstaterade inledningsvis att Roca & Asociados y Economistas grundat behandlingen av personuppgifter på den registrerades samtycke. Med hänsyn till definitionen av samtycke enligt artikel 4.11 GDPR samt skälen 32 och 42 GDPR betonade AEPD att den registrerade måste informeras på lämpligt sätt om behandlingen och tydligt samtycka till denna.
Under sin utredning hittade AEPD inga bevis på att den registrerade har lämnat en tydlig förklaring om att hon samtyckt till behandlingen av sina personuppgifter i form av publicering på webbplatsen. AEPD ansåg därför att Roca & Asociados endast antagit den registrerades samtycke, vilket inte uppfyller kravet på en tydlig bekräftande handling. AEPD konstaterade därför en överträdelse av artikel 6.1 GDPR och har utfärdat företaget en sanktionsavgift på 5 000 euro.