Agencia Espanola Proteccion Datos (AEPD) har bötfällt Sindicato Aragonés de Transporte 3 000 euro för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att de registrerade var medlemmar i strejkkommittén i en kollektiv konflikt mellan företaget Avanza Zaragoza S.A.U (tredje part) och dess anställda. På grund av denna konflikt publicerade Sindicato Aragonés de Transporte (den personuppgiftsansvarige) på sociala nätverk som Facebook och Twitter, samt på sin webbplats ett dokument där de registrerades namn, efternamn och ID avslöjades. Offentliggörandet var synligt för vem som helst under minst en halvtimme. Efteråt rättades publiceringen till följd av de registrerades klagomål till den personuppgiftsansvarige.
De registrerade klagade också till AEPD om denna händelse, som inledde ett förfarande mot den personuppgiftsansvarige. AEPD underrättade den personuppgiftsansvarige om klagomålet elektroniskt och per post, men fick inget svar.
AEPD hänvisade till artikel 4.12 GDPR, som i stort sett definierar dataintrång som ett “brott mot säkerheten som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt utlämnande av eller tillgång till personuppgifter som överförts, lagrats eller på annat sätt behandlats”. Med denna definition i åtanke ansåg AEPD att den personuppgiftsansvarige bröt mot principen om konfidentialitet enligt artikel 5.1 (f) GDPR genom att publicera de registrerades personuppgifter på sociala nätverk utan att ha en giltig rättslig grund för detta.
Vidare konstaterade AEPD att den personuppgiftsansvarige också bröt mot artikel 32 GDPR genom att underlåta att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa uppgifternas konfidentialitet och för att förhindra att personuppgifterna offentliggörs på sociala medier. Även om artikel 32 GDPR i sig inte innehåller någon förteckning över säkerhetsåtgärder, är den personuppgiftsansvarige skyldig att implementera åtgärder som är lämpliga i förhållande till den aktuella risken.
Till följd av detta ålade AEPD böter på 2 000 euro för överträdelse av artikel 5.1 (f) GDPR, med beaktande av att de registrerade kunde identifieras genom uppgifterna och att offentliggörandet kunde spridas på bred front på internet. Dessutom ålade AEPD böter på 1 000 euro för överträdelse av artikel 32 GDPR.