Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (AEPD) har bötfällt flygbolaget Vueling Airlines S.A. med 30 000 euro för överträdelser av den spanska lagen om informationssamhällets tjänster och elektronisk handel (LSSI) och dataskyddsförordningen (GDPR).
Av beslutet framgår att en registrerad klagat över att det var omöjligt att köpa en flygbiljett från Vueling Airlines webbplats utan att acceptera cookies och samtycka till att ta emot reklam. Enligt Vueling Airlines cookiepolicy var det möjligt för användare att återkalla samtycke till icke väsentliga cookies genom att avmarkera två förbockade rutor, en för “prestationscookies” och en för “målinriktade cookies”. Vissa cookies från tredje part kategoriserades dock felaktigt som väsentliga, och även när användarna avmarkerade de relevanta rutorna eller klickade på “avvisa alla” fanns icke väsentliga cookies kvar.
AEPD konstaterade att tekniskt onödiga cookies, inklusive cookies från tredjepartsleverantörer, var aktiva på webbplatsen direkt när sidan anropades utan användarens samtycke vilket strider mot artikel 22.2 LSSI. I samband med detta förblev vissa cookies, inklusive cookies från Google, aktiverade även efter att avaktiveringsfunktionen slagits på via kontrollpanelen. AEPD konstaterade även att Vueling Airlines inte informerat om flygbolagets användning av cookies enligt artikel 13 GDPR.
På grundval av dessa brister ålade AEPD Vueling Airlines böter på 30 000 euro för överträdelse av artikel 22.2 LSSI och artiklarna 6.1 och 13 GDPR . Detta bötesbelopp sänktes dock till 18 000 euro på grund av omedelbar betalning och erkännande av skuld.