Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (“AEPD”) har bötfällt Vodafone España, S.A.U. med 90 000 euro för brott mot artiklarna 5.1 (d) och (f) i dataskyddsförordningen (“GDPR”).
Av beslutet framgår att Vodafone España ingått ett avtal med en registrerad. De avtalade produkterna levererades dock inte i den registrerades namn utan i en tredje parts namn, varför den registrerade kontaktade Vodafone Españas dataskyddsombud via e-post för att rätta uppgifterna som registrerats hos företaget. Den registrerade fick dock inget svar på sin begäran, och kontaktade istället företagets kundtjänst per telefon. Under samtalet med Vodafone España adresserades den registrerade med namnet på den tredje parten. Vodafone Españas hänvisade också till den tredje partens ärende under samtalet. Enligt Vodafone España orsakades händelsen av en felaktig systemmigration i deras system.
AEPD ansåg att Vodafone España agerat i strid med principerna om korrekthet i artikel 5.1 (d) i GDPR och integritet och konfidentialitet i artikel 5.1 (f) i GDPR, och utdömde ett bötesbelopp på 90 000 euro. Bötesbeloppet sänktes dock till 54 000 euro då Vodafone España frivilligt betalat avgiften.