Agencia Espanola Proteccion Datos (AEPD) har bötfällt United Parcel Service España Ltd y Compañia Src. (UPS) med 70 000 euro för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att UPS överlämnat ett paket som var adresserat till den registrerade till en granne utan föregående samtycke. UPS försökte först och främst utesluta sitt ansvar i subjektiva termer. UPS hävdade att det fanns ett avtal med Media Markt och att de agerade som tjänsteleverantörer (personuppgiftsbiträde), följde deras instruktioner och agerade i enlighet gällande avtal. UPS hävdade också att det i klausul 10 i avtalet angavs att paket kan lämnas hos grannar när adressaten inte kan hittas, och att det i klausul 11 angavs att det var Media Markt som skulle informera sina kunder om behandlingen av deras uppgifter.
Enligt AEPD, med hänvisning till EDPB:s riktlinjer 07/2020, måste man för att fastställa de personuppgiftsansvarigas och personuppgiftsbiträdenas roller ta hänsyn till den faktiska verksamheten hos båda (dvs. de faktiska omständigheterna i ärendet).
I det här fallet fanns det bara ett tjänsteavtal mellan Media Markt och UPS. Det saknades ett personuppgiftsbiträdesavtal med exakta instruktioner för behandlingen (dvs. föremålet för och varaktigheten av behandlingen, behandlingens art och syfte, typen av personuppgifter och kategorier av registrerade samt den personuppgiftsansvariges skyldigheter och rättigheter), i enlighet med artikel 28.3 GDPR.
Dessutom betonade AEPD att ett sådant personuppgiftsbiträdesavtal också bör definiera skyldigheten att respektera uppgifternas konfidentialitet och de åtgärder som anges i artikel 32 GDPR. Eftersom skyldigheterna inte var tydligt definierade kunde UPS därför inte betraktas som personuppgiftsbiträde och var därmed personuppgiftsansvarig för incidenten på grund av den faktiska kontrollen över metoderna för behandling av personuppgifter.
AEPD konstaterade vidare en överträdelse av artikel 5.1 (f) GDPR eftersom den registrerades personuppgifter lämnats ut till en tredje person utan dennes samtycke. För denna överträdelse bötfälldes UPS med 50 000 euro i böter. AEPD konstaterade också en överträdelse av artikel 32 GDPR eftersom UPS inte vidtagit de åtgärder som var nödvändiga för att förhindra ett sådant utlämnande. För denna överträdelse bötfälldes UPS med 20 000 euro i böter.