Search
Close this search box.

Spanien: UPS bötfälls med 70 000 euro för att ha lämnat paktet till en granne

Agencia Espanola Proteccion Datos (AEPD) har bötfällt United Parcel Service España Ltd y Compañia Src. (UPS) med 70 000 euro för överträdelser av dataskyddsförordningen (GDPR).

Av beslutet framgår att UPS överlämnat ett paket som var adresserat till den registrerade till en granne utan föregående samtycke. UPS försökte först och främst utesluta sitt ansvar i subjektiva termer. UPS hävdade att det fanns ett avtal med Media Markt och att de agerade som tjänsteleverantörer (personuppgiftsbiträde), följde deras instruktioner och agerade i enlighet gällande avtal. UPS hävdade också att det i klausul 10 i avtalet angavs att paket kan lämnas hos grannar när adressaten inte kan hittas, och att det i klausul 11 angavs att det var Media Markt som skulle informera sina kunder om behandlingen av deras uppgifter.

Enligt AEPD, med hänvisning till EDPB:s riktlinjer 07/2020, måste man för att fastställa de personuppgiftsansvarigas och personuppgiftsbiträdenas roller ta hänsyn till den faktiska verksamheten hos båda (dvs. de faktiska omständigheterna i ärendet).

I det här fallet fanns det bara ett tjänsteavtal mellan Media Markt och UPS. Det saknades ett personuppgiftsbiträdesavtal med exakta instruktioner för behandlingen (dvs. föremålet för och varaktigheten av behandlingen, behandlingens art och syfte, typen av personuppgifter och kategorier av registrerade samt den personuppgiftsansvariges skyldigheter och rättigheter), i enlighet med artikel 28.3 GDPR.

Dessutom betonade AEPD att ett sådant personuppgiftsbiträdesavtal också bör definiera skyldigheten att respektera uppgifternas konfidentialitet och de åtgärder som anges i artikel 32 GDPR. Eftersom skyldigheterna inte var tydligt definierade kunde UPS därför inte betraktas som personuppgiftsbiträde och var därmed personuppgiftsansvarig för incidenten på grund av den faktiska kontrollen över metoderna för behandling av personuppgifter.

AEPD konstaterade vidare en överträdelse av artikel 5.1 (f) GDPR eftersom den registrerades personuppgifter lämnats ut till en tredje person utan dennes samtycke. För denna överträdelse bötfälldes UPS med 50 000 euro i böter. AEPD konstaterade också en överträdelse av artikel 32 GDPR eftersom UPS inte vidtagit de åtgärder som var nödvändiga för att förhindra ett sådant utlämnande. För denna överträdelse bötfälldes UPS med 20 000 euro i böter.

Mer information

Myndighet: Agencia Espanola Proteccion Datos (AEPD)

Land: Spanien

Lagrum: Art. 5 GDPR, art. 28 GDPR, art. 32 GDPR

Sanktionsavgift: 70 000 euro

Mottagare: United Parcel Service España Ltd y Compañia Src.

Beslutsnummer: PS/00280/2022

Beslutsdatum: 2022-11-03

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

07 MAR

AI – Introduktion till artificiell intelligens

Kursen ger dig de rättsliga förutsättningarna för utveckling, upphandling och användning av AI.

14 MAR

Cybersäkerhet - Introduktion till NIS2-direktviet

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

AI - Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.