Agencia Espanola Proteccion Datos (AEPD) har bötfällt Techpump Solutions S.L. med 525 000 euro för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Techpump Solutions är ägare till olika internetdomäner som har innehåll för vuxna. Om en användare vill komma åt vissa domäner måste användaren ange personuppgifter. Enligt AEPD har myndigheten bland annat fått rapporter om eventuell behandling av personuppgifter om barn under 14 år.
Efter sin granskning konstaterade AEPD att Techpump Solutions faktiska behandling av personuppgifter inte motsvarade den integritetspolicy som finns på de webbsidor som Techpump Solutions driver, och att personuppgifter överförs till företag inom samma koncern, trots att det i integritetspolicyn sägs att en sådan process inte kommer att ske. AEPD konstaterade därför att Techpump Solutions brutit mot principen om laglighet, korrekthet och öppenhet i artikel 5.1 (a) GDPR.
AEPD konstaterade också att Techpump Solutions på obestämd tid sparade personuppgifter om webbplatsanvändarna som använde de berörda webbsidorna, tills dess att webbplatsanvändarna begärde att samtycket skulle återkallas. Följaktligen konstaterade AEPD att Techpump Solutions, genom att inte fastställa omfattningen eller syftet med behandlingen av uppgifter, brutit mot principen om ändamålsbegränsning i artikel 5.1 (b) GDPR och principen om lagringsminimering i 5.1 (e) GDPR.
Dessutom klargjorde AEPD att Techpump Solutions förmåga att samla in personuppgifter från användare utan att tidigare ha fått deras samtycke till behandling, genom en tydlig och frivillig bekräftande handling, utgjorde en överträdelse av artikel 6.1 GDPR.
Vidare angav AEPD att Techmpump Solutions webbsidor saknade villkor som krävde ett samtycke från den som innehar föräldraansvaret för att minderåriga under 14 år för att dessa personer skulle kunna få tillgång till relevanta webbsidor. AEPD ansåg därför att Techpump Solutions brutit mot artikel 8 GDPR eftersom det saknades sådana mekanismer för att säkerställa föräldrarnas eller vårdnadshavarnas samtycke.
AEPD konstaterade också att även om majoriteten av Techpump Solutions anställda är bosatta utanför Spanien, var informationen i företagets integritetspolicy på engelska, ett icke-officiellt språk i Spanien. AEPD konstaterade därför att Techpump Solutions, genom att inte tillhandahålla information om företagets behandling av personuppgifter på ett begripligt, klart och enkelt sätt som är begripligt för målgruppen, brutit mot artikel 12.1 GDPR.
På samma sätt menade AEPD att kravet på att tillhandahålla personuppgifter, inklusive passinformation, för att utöva den registrerades rättigheter utgjorde en överträdelse av artikel 12.2 GDPR från Techpump Solutions sida, oavsett eventuella tvivel om den registrerades identitet.
Vidare noterade AEPD att informationen i Techpump Solutions integritetspolicy inte motsvarade den faktiska behandlingen av personuppgifter, vilket innebar att berörda parter inte kunde få veta hur deras personuppgifter behandlas, vilket innebar en överträdelse av artikel 13 GDPR.
AEPD konstaterade också att Techpump Solutions började behandla användarnas personuppgifter direkt, utan att stanna upp för att utvärdera cykeln för behandling av personuppgifter och vilka personuppgifter som ska behandlas. AEPD ansåg därför att Techpump Solutions, genom att inte beakta principerna i artikel 5 GDPR, brutit mot kravet på inbyggt dataskydd och dataskydd som standard i artikel 25 GDPR.
När det gäller GDPR konstaterade AEPD slutligen att Techpump Solutions ofta samlade in personuppgifter, inklusive IP-adresser, utan att förklara för användarna vilka omständigheter som är tillämpliga, trots att integritetspolicyn motsäger den faktiska behandlingen. Följaktligen ansåg AEPD att Techpump Solutions brutit mot artikel 30.1 GDPR genom att inte ge en korrekt beskrivning av de kategorier av personuppgifter som behandlas.
Därutöver framhöll AEPD att Techpump Solutions inte gett någon information om användningen av cookies på sina tillämpliga webbplatser, samtidigt som man använde cookie walls som förhindrade tillgång till webbplatser och tvingade användare att acceptera relevanta cookies. AEPD ansåg därför att Techpump Solutions brutit mot artikel 22.2 LSSI genom att inte ge användarna tydlig och fullständig information om användningen.
Till följd av de ovannämnda överträdelserna av GDPR och LSSI ålade AEPD böter på sammanlagt 525 000 euro. Vidare beslutade AEPD att Techpump Solutions skulle genomföra ett antal åtgärder inom en månad efter offentliggörandet av beslutet och därefter informera AEPD om de genomförda åtgärderna inom samma tidsperiod.