skip to Main Content

Eddig 106 alkalommal bírságolt a spanyol adatvédelmi hatóság

Az adatvédelmi bírságok kiszabása nem verseny, de ha az lenne, a Spanyol Adatvédelmi Hatóság állna az élen. Az interneten elérhető adatok alapján eddig több mint 100 alkalommal bírságolt (az általunk elérhető statisztikák alapján második helyen Románia áll, a harmadikon Magyarország), bár gyakorlatuk szerint inkább több, kisebb összegű, figyelmeztető bírságot szoktak kiszabni.

Ilyen tempó mellett nem csoda, ha mi is sok időt szentelünk a Hatóság munkájának. Minden bírságról nem tudunk beszámolni, de a fontosabbakról most már hagyomány szerint tömbösítve írunk, legutóbbi ilyen cikkeinket itt találja. Az alábbiakban újabb hat esetet mutatunk be, ahol az AEPD hiányosságokat talált és bírságot szabott ki.

1.500 euró közigazgatási bírságot szabott ki az Auto Desguaces SL ellen. A cég oly módon telepítette kamerás megfigyelőrendszerét, hogy az közterületre is, és az ügyfelek fogadására kialakított területre is rálátott. A vizsgálat során az AEPD megállapította, hogy a kamera látószöge nagyobb volt, mint az hasonló esetekben jogszerű, a céget ezért az adattakarékosság elvének megsértése miatt megbírságolta. Az összeget a cég önkéntes fizetése miatt 1.000 euróra mérsékelte.

1.000 euró bírságot kapott a Centro Internacional De Crecimiento SL nevű cég, melyet később szintén önkéntes fizetés miatt 600 euróra csökkentettek. A szóban forgó cég ellen panasz érkezett, miszerint egy ügyfelük direkt marketing tartalmú e-maileket kapott annak ellenére, hogy ehhez nem adta hozzájárulását. Az érintett e-mailekben továbbá nem volt lehetőség a levelezőlistáról való leiratkozásra.

A Vodafone España-t 12.000 euró összegre büntette a GDPR 5. cikk (1) bekezdésének megszegése miatt. A bejelentő panasza arról szólt, hogy a nevéhez tartozó felhasználói fiók egy harmadik személy nevére került átírásra – az érintett elvált házastársáéra. Az AEPD megállapította, hogy az incidens a Vodafone hanyagságából történt és alapvető személyi azonosítókat érintett. A Vodafone nem vitatta a Hatóság vizsgálatának eredményét, önként megfizette a bírságot, ezért az eredeti összeget 9.000 euróra mérsékelték.

5.000 euróra bírságolta a Global Business Travel Spain SLU céget, mivel nem hozta meg a GDPR által elvárt biztonsági intézkedéseket. A panasz arra vonatkozóan érkezett a Hatósághoz, hogy az érintett egészségügyi adataihoz egy alkalmazott illetéktelenül hozzáfért és azokat közzétette. Az AEPD kimondta, hogy a cég, mint adatkezelő megsértette a GDPR 32. cikkét, mivel nem vezetett be megfelelő szervezeti és technikai intézkedéseket az illetéktelen hozzáférés megakadályozására. A GBT Spain önkéntesen fizetett, ezért a bírság 3.000 euróra mérséklődött.

5.000 euró összegre (melyből 3.000-et kellett megfizetni önkéntes fizetés miatt) bírságolta a Hatóság a School Fitness Holiday & Franchising SL nevű céget a GDPR 13. cikkének megsértéséért, azaz a nem megfelelő tájékoztatás miatt. Közleményében a Hatóság kitér arra, hogy a cég ügyfeleivel kötött szerződéseiben adatvédelemmel kapcsolatos szabálytalanságokat találtak, amely ellentmond az Rendelet 12. cikke szerinti, adatkezelési tájékoztatással kapcsolatos elvárásoknak.

A végére maradt az Xfera Móviles esete, akiknek már sokadszorra gyűlt meg a bajuk a Hatósággal. Ebben a konkrét esetben az AEPD 55.000 euró bírságot szabott ki rájuk a GDPR 5. cikk (1) bekezdés f) pontja („integritás és bizalmas jelleg”), és 32. cikkének („adatkezelés biztonsága”) megszegése miatt. Az Xfera egy ügyfelének mobiltelefonszámát egy harmadik személyhez regisztrálta, ezért ő hozzáférhetett személyes adatokhoz (telefonszámokhoz és címekhez) a panaszos weboldalán. Az Xfera Móviles sem vitatta a Hatóság döntését, önkéntesen vállalta a bírság megfizetését, ezért az AEPD a bírság összegét 33.000 euróra csökkentette.

Back To Top