Agencia Espanola Proteccion Datos (AEPD) har bötfällt ägaren till en kommersiell webbplats med 3 000 euro för överträdelser av dataskyddsförordningen (GDPR) och den spanska lagen om informationssamhällets tjänster och elektronisk handel (LSSI).
Av beslutet framgår att en registrerad lämnat in ett klagomål till AEPD där han hävdade att ägaren till en kommersiell webbplats, den personuppgiftsansvarige, brutit mot artiklarna 6 och 13 GDPR samt artikel 22.2 LSSI. Den registrerade klagade över tre aspekter på den personuppgiftsansvariges webbplats; kontaktformuläret, integritetsspolicyn och cookiepolicyn.
AEPD konstaterade att webbplatsens kontaktformulär, genom vilket webbplatsanvändaren kunde kontakta den personuppgiftsansvarige, gav inte den registrerade möjlighet att ge sitt samtycke till behandlingen av dennes personuppgifter vilket utgör en överträdelse av artikel 6 GDPR. AEPD konstaterade vidare att webbplatsens integritetsspolicy inte innehöll all relevant information som nämns i artikel 13 GDPR för den registrerade, varför den personuppgiftsansvarige inte uppfyllt sin informationsskyldighet.
Vad gäller användningen av cookies konstaterade AEPD bland annat att webbplatsen använt cookies från tredje part som inte var nödvändiga eller funktionella, att registrerade inte hade möjlighet att avvisa dessa cookies, samt att webbplatsen cookiepolicy inte innehöll tillräckligt med information.
På grundval av dessa brister ålade AEPD ägaren till webbplatsen böter på 3 000 euro; 1 000 euro för överträdelse av artikel 6.1 GDPR, 1 000 euro för överträdelse av artikel 13 GDPR samt 1 000 euro för överträdelse av artikel 22.2 LSSI. Detta bötesbelopp sänktes dock till 1 800 euro på grund av omedelbar betalning och erkännande av skuld.