Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (“AEPD”) har bötfällt Vodafone España, S.A.U. med 40 000 euro för brott mot artikel 6.1 i dataskyddsförordningen (“GDPR”).
Av beslutet framgår att en registrerad lämnat in ett klagomål till AEPD mot Vodafone då företaget i maj 2020 debiterat den registrerades bankkonto för ett mobilabonnemang som den registrerade inte var ägare till. Mobilabonnemanget tillhörde istället den registrerades före detta partner.
AEPD:s utredning visade att den registrerades före detta partner ingått ett avtal med Vodafone i den registrerades namn. Den före detta partnern hade uppgett att hon varit behörig att göra detta, men kunde inte presentera något bevis för detta. Enligt AEPD har Vodafone olagligt hade behandlat den registrerades uppgifter. För att principen om laglighet vid behandling av uppgifter från tredje part ska följas krävs det enligt AEPD att den personuppgiftsansvarige kan bevisa lagligheten för personuppgiftsbehandlingen. Då Vodafone inte presenterat sådant bevis ansåg AEPD att företaget agerat i strid med artikel 6.1 GDPR.