Cikkek

A spanyol adatvédelmi hatóság szeptemberi döntései

Legutóbbi cikkünkben nem volt túlzás azt állítani, hogy a régi lendületével tért vissza a Spanyol Adatvédelmi Hatóság (AEPD), ugyanis rövid idő alatt 6 bírságot is kiosztottak. Nem sokkal egy héttel a korábbi cikkünk után újra be tudunk számolni hat olyan esetről, melyekben a Hatóság jogszerűtlen adatkezelés, azaz az Általános Adatvédelmi Rendelet (GDPR) megsértése miatt bírságokat szabott ki.

3.000 euró bírság munkavállalók adatainak jogszerűtlen közzétételéért

2020. szeptember 7-én hozta meg döntését, melyben 3.000 euró adatvédelmi bírsággal sújtotta a Barcelonai Repülőtér Biztonsági Szolgálatát (AVSAB) a GDPR 5. cikk (1) bekezdés f) pontjának megsértéséért.

A határozatból kiderül, hogy az AVSAB biztonsági bizottságának egyik tagja a WhatsApp alkalmazáson keresztül magántelefonszámokra küldött az alkalmazottak választási összeírással kapcsolatos adatokat. A Hatóság kimondta, hogy ez az adatkezelés sérti a bizalmasság elvét, és kiemeli, hogy az elvet nem csak az adatkezelőnek, de a képviseletében az adatkezelés bármely szakaszában eljáró egyénnek is tiszteletben kell tartania.

A Hatóság a bírságot az AVSAB önkéntes fizetése miatt 1.800 euróra mérsékelte.

1.500 eurónyi bírság egy politikai pártnak

A Hatóság 2020. szeptember 10-én hozta meg határozatát, melyben bírságot szab ki a Vox Espana nevű politikai pártra kéretlen e-mail üzenetek küldéséért. A panasztevő korábban kérte a pártot az üzenetek küldésének megszüntetésére, melyet a párt meg is erősített egy e-mail üzenetben.

Az AEPD mégis megállapította a GDPR 6. cikk (1) bekezdés a) pontjának megszegését, mivel az érintettnek továbbra is kapot üzeneteket, így az adatkezelés is megvalósult utána, holott korábban visszavonta hozzájárulását. A Hatóság döntése ellen még fellebbezésnek helye van.

10.000 euró bírság egy lakó személyes adatainak közzétételéért

2020. szeptember 15-én hozta meg a döntést a Hatóság, melynek értelmében 10.000 euró bírságot szabott ki a Comunidad de Propietarios R.R.R. nevű lakásszövetkezet ellen, mert az jogszerűtlenül tette közzé egyik lakójuk személyes adatait, mivel annak tartozása volt. A közzétételre egy hirdetőtáblán került sor, amely a bejelentő fennálló adósságát, annak pontos összegét, illetve a bejelentő nevét, emelet- és ajtószámát tartalmazta.

A bejelentő állítása szerint értesítette a lakásszövetkezet elnökét a szabálysértésről, ő azonban ennek ellenére nem távolította el a közzétett adatokat. Az AEPD vizsgálatában megjegyezte, hogy a bejelentő korábban nemi erőszak áldozata volt, ezért személyes adatait különösen védett módon kell kezelni. A Hatóság szerint bár a lakóközösség nem tudott a bejelentő különleges helyzetéről, figyelembe kellett volna vennie, hogy személyes adatokat nyilvános közzétételekor számos adatvédelmi elvet kell betartani.

Egy újabb AEPD bírság kamerák szabálytalan telepítéséért

2020. szeptember 16-án adta ki határozatát az AEPD, melyben 3.000 euró bírságot szabott ki a Grupo Carolizan Sociedad Limitada nevű céggel szemben.

Az eljárás egy lakásszövetkezeti bejelentés nyomán indult, mely szerint a Grupo Carolizan térfigyelő kamerákat helyezett el egy játékteremben, azonban olyan módon, hogy az az elhaladó gyalogosokról is felvételt készített. A Hatóság határozata kimondta, hogy a cég gyakorlata sérti a GDPR adattakarékossági elvét.

60.000 euró bírság egy kivitelezőnek jogszerűtlen adatkezelésért

A Hatóság 2020. szeptember 22-én publikálta döntését, melyben 60.000 euró adatvédelmi bírsággal sújtotta a GLP Instalaciones 86 nevű céget, a GDPR 6. cikk (1) bekezdésének megsértéséért. A döntés felvázolja, hogy a bejelentőnek segítségre volt szüksége egy légkondicionáló rendszer telepítéséhez és ezzel kapcsolatban telefonon felkereste a Naturgy Energy Group SA nevű céget, akik a hívás során felvették személyes adatait.

A továbbiakban a bejelentőt két különböző cég kereste fel, melyek a Naturgy partnereként mutatkoztak be, ezek egyike volt a GLP Instalaciones. Mivel a telepítés során a bejelentőnek problémái adódtak a GLP Instalaciones-szel, ezért panaszával a Naturgy-hoz fordult, aki megerősítette neki, hogy a két cég között nem áll fenn partneri viszony.

Az AEPD ezért megállapította, hogy a GLP Instalaciones 86 tevékenysége sértette a GDPR jogszerű adatkezeléssel kapcsolatos elvárásait, mivel az érintett személyes adatait (név, telefonszám, banki adatok, e-mail cím) megfelelő jogalap nélkül kezelték.

Bírság kéretlen e-mailekért

Szintén 2020. szeptember 22-én jelentette be a Hatóság a Sangil Y Garcia elleni 1.800 eurós bírságát az információs társadalomról és elektronikus kereskedelemről szóló törvény megsértése miatt.

Az AEPD megállapította, hogy a cég marketing tartalmú e-maileket küldtek a szolgáltatásaik népszerűsítésének céljából, ehhez azonban nem szerezték meg a címzettek előzetes hozzájárulását. A Hatóság azt is megjegyezte, hogy a cég és a címzettek között nem állt fenn korábbi szerződéses jogviszony sem.

Kapcsolódó cikkek
Back To Top