Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 30 000 euro mot The Red Kiwi S.L. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att den spanska dataskyddsmyndigheten (AEPD) hade mottagit två klagomål mot The Red Kiwi, ett bolag som driver en medicinsk klinik i Spanien med inriktning på estetiska ingrepp. De registrerade gjorde gällande att bolaget hade skapat en WhatsApp-grupp i marknadsföringssyfte med hjälp av ett företagsanknutet telefonnummer.
Cirka 90 kunder, däribland klagandena, hade lagts till i gruppen utan att ha lämnat sitt samtycke. Samtliga deltagare kunde ta del av övriga medlemmars telefonnummer och i vissa fall även deras namn. Efter att klagandena uppmärksammat förhållandet lämnade The Red Kiwis representant gruppen, som därefter förblev öppen.
AEPD ansåg att The Red Kiwi inte hade bedömt riskerna med att använda en gruppchattplattform där deltagarna kunde se varandras personuppgifter, och inte heller hade infört lämpliga tekniska eller organisatoriska skyddsåtgärder för att förhindra obehörig åtkomst. Myndigheten underströk att redan uppgiften om att en person är eller har varit kund hos en kosmetisk klinik utgör en hälsouppgift och därmed en särskild kategori av personuppgifter.
Mot denna bakgrund konstaterade AEPD att The Red Kiwi hade åsidosatt principen om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR. Bristerna bedömdes även innebära ett åsidosättande av det proaktiva ansvar och den omsorgsplikt som följer av ansvarsskyldigheten enligt artikel 5.2 GDPR.
AEPD konstaterade även att The Red Kiwi kunde ha rättslig grund för behandling av kunduppgifter för att fullgöra avtal och för marknadsföringsändamål enligt artiklarna 6.1 (b) och 6.1 (f) GDPR. Detta befriade dock inte bolaget från skyldigheten att säkerställa att behandlingen skedde med iakttagande av konfidentialitet.