Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 21 600 euro mot School Fitness Holiday & Franchising S.L. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att den registrerade var medlem i School Fitness, som påstods ha agerat som gemensamt personuppgiftsansvarig tillsammans med det lokala gymmet. I februari 2021 lämnade den registrerade in ett klagomål via School Fitness:s webbplats eftersom han var missnöjd med att ha blivit filmad under träningspass utan samtycke. I sitt svar hävdade School Fitness att den registrerade hade gett sitt samtycke genom att underteckna medlemsskapsavtalet. Avtalet innehöll en klausul enligt vilken medlemmen genom att underteckna avtalet gav företaget rätt att använda alla bilder, fotografier, videor, röstinspelningar, grafik och andra uppgifter där de förekom.
I maj 2023 märkte den registrerade att en telefon spelade in lektionen, trots att den registrerade upprepade gånger motsatte sig att bli filmad. Den registrerade ansåg att den avtalsklausul som det hänvisades till i e-postväxlingen var kränkande och lämnade in ett klagomål till AEPD. När School Fitness mottog kravet från AEPD tillbakavisade företaget anklagelserna. School Fitness hävdade att de medlemmar som undertecknade avtalet uttryckligen samtyckte till att bli inspelade och till att det inspelade materialet spreds i marknadsföringssyfte. School Fitness hävdade också att muntligt samtycke erhölls under lektionerna.
AEPD konstaterade att kombinationen av en klausul i ett abonnemangsavtal och muntligt samtycke inte uppfyllde kraven i artikel 7.1 GDPR. Frivilligheten kunde inte påvisas genom de avtal som undertecknats av de registrerade. Det saknades också en specifik, tydligt avgränsad klausul om användning av bilder. Godkännandet av bildbehandling kunde inte heller särskiljas från godkännandet av allmänna och specifika avtalsvillkor. Vidare innehöll School Fitness dokumentation inga bevis som visade att ett sådant muntligt samtycke begärts och erhållits på ett effektivt sätt. AEPD ansåg därför att School Fitness därmed bröt mot artikel 7.1 GDPR.
AEPD konstaterade vidare att School Fitness brutit mot principen om lagringsminimering enligt artikel 5.1 (e) GDPR. Av School Fitness interna register framgick att bilder och videor sparades på obestämd tid. Företaget angav inte någon specifik lagringsperiod och bedömde inte heller nödvändigheten utifrån det ursprungliga ändamålet. School Fitness underlät därmed att fastställa och följa en definierad lagringstid för uppgifter. AEPD konstaterade därför också en överträdelse av artikel 5.1 (e) GDPR.
Slutligen var AEPD kritisk till arrangemanget mellan School Fitness och det lokala gymmet. Parterna påstod sig fungera som gemensamt personuppgiftsansvariga, men AEPD höll inte med om parternas bedömning då School Fitness i praktiken bestämde helt och hållet hur personuppgifterna skulle behandlas. Det lokala gymmet behandlade endast personuppgifter enligt School Fitness instruktioner och utan verklig beslutanderätt. Det lokala gymmet borde således ha kvalificerats som ett personuppgiftsbiträde snarare än en gemensamt personuppgiftsansvarig. AEPD beslutade därför att School Fitness bröt mot artikel 28.3 GDPR.
Sanktionsavgiften uppgick ursprungligen till 36 000 euro, men sänktes till 21 600 euro efter att School Fitness gjort en omgående betalning och erkänt sitt ansvar för överträdelsen. School Fitness förelades också att vidta korrigerande åtgärder, som att säkerställa att inspelning och publicering av bilder och videor av registrerade sker med korrekt rättslig grund, att följa lagringstiderna för behandlingen av personuppgifter och att teckna ett personuppgiftsbiträdesavtal som uppfyller kraven.