Agencia Espanola Proteccion Datos (AEPD) har bötfällt en 16-årig tonåring med 5 000 euro för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att 16-åringen (den personuppgiftsansvarige) och 13-åringen (den registrerade) hade kontakt via Instagram och WhatsApp, där den registrerade skickade intima bilder till den personuppgiftsansvarige. Efter en tid bad den personuppgiftsansvarige om fler bilder och för att få det hotade och utpressade den personuppgiftsansvarige den registrerade genom att säga att dessa videor och bilder skulle offentliggöras på sociala medier. Som ett resultat av detta skickade den registrerade fler bilder. För de ovan nämnda omständigheterna dömdes den personuppgiftsansvarige av den spanska ungdomsdomstolen.
Den registrerades förälder lämnade också in ett klagomål till AEPD, som inledde ett utredningsförfarande för en påstådd överträdelse av artikel 6.1 GDPR. Den personuppgiftsansvarige hävdade att den konstitutionella principen non bis in idem hade överträtts eftersom den personuppgiftsansvarige redan befunnits skyldig till straffrättsliga hot av en ungdomsdomstol.
AEPD ifrågasatte i första hand påståendet om principen non bis in idem. För att garantera rättssäkerheten bör ingen administrativ påföljd vidtas om en straffrättslig påföljd redan har tillämpats för materiellt sett samma brott. AEPD ansåg dock att de påföljdsgrundande brotten i detta fall inte var samma. AEPD angav vilka faktorer som krävs för att överväga att det var samma brott, det vill säga likhet mellan föremål, fakta och grund. I det aktuella fallet fanns det endast en likhet i fråga om ämnet, men det fanns varken en saklig eller kausal likhet. När det gäller sambandet mellan fakta uppgav AEPD att det straffrättsliga ungdomsförfarandet inleddes och avslutades på grund av överträdelsen av artikel 169.1 i den spanska strafflagen (hot mot den registrerade), medan det aktuella sanktionsförfarandet inleddes på grund av den påstådda överträdelsen av artikel 6.1 (a) GDPR (olaglig behandling av den registrerades personuppgifter och ogiltigt samtycke). När det gäller grunden eller skälet angav AEPD att i ungdomsbrottsförfarandet var den skyddade rättsliga egenskapen rätten till valfrihet medan det i detta administrativa förfarande var rätten till skydd av personuppgifter. Därför fick AEPD inleda ett sanktionsförfarande mot den personuppgiftsansvarige.
För det andra nämnde AEPD att den personuppgiftsansvariges insamling, registrering och lagring av den registrerades bilder och videor var tillräcklig för att betraktas som behandling av personuppgifter enligt artikel 4.2 GDPR, vilket innebär att dataskyddsförordningen blir tillämplig.
För det tredje erinrade AEPD om behovet av en rättslig grund för behandlingen. När det gäller samtycke var artikel 7 i den nationella lagstiftningen tillämplig, eftersom den registrerade var minderårig. I bestämmelsen föreskrivs att samtycke endast är giltigt om det ges av en person som är över 14 år. I annat fall är samtycke från föräldrarna eller någon annan laglig företrädare obligatoriskt. I det aktuella fallet var den minderårige 13 år gammal, och behandlingen kunde därför inte grundas på samtycke i förhållande till artikel 6.1 (a) GDPR eftersom samtycket inte kunde anses vara giltigt.
Slutligen tillämpade AEPD två försvårande omständigheter enligt artikel 83.2 GDPR; arten, omfattningen och syftet med den berörda behandlingen samt nivån på skadan för de registrerade, och överträdelsens uppsåtliga karaktär, eftersom den personuppgiftsansvarige hotade den registrerade och detta bevisades genom en rättslig dom. På samma sätt tillämpade AEPD en försvårande omständighet i artikel 76.2 a i den nationella lagstiftningen; skada för en minderårig.
Å andra sidan tillämpade AEPD proportionalitetsprincipen och principen om individualisering av påföljder och beaktade den personuppgiftsansvariges vittnesmål om att bilderna och videorna hade raderats, vilket innebar att behandlingen av sådana uppgifter upphörde.
AEPD ålade den personuppgiftsansvarige böter på 5 000 euro för avsaknad av giltig rättslig grund för behandling enligt artikel 6.1 GDPR, samt beordrade den personuppgiftsansvarige att radera alla andra personuppgifter om den registrerade och begärde att den personuppgiftsansvarige skulle rapportera om de åtgärder som vidtagits för att göra detta.