Ett företag i Spanien fick en hög sanktionsavgift pga bristande tekniska åtgärder. Det fanns två brister. För det första gick det inte att verifiera om den person som ingick kontraktet för sin uppdragsgivares räkning, verkligen hade befogenhet att göra det. För det andra, gick det inte att verifiera om personen hade befogenhet och tillåtelse att samtycka till behandlingen av personuppgifterna för sin uppdragsgivares räkning. Dessutom hade inte företaget tillräcklig dokumentation som är ett krav enligt GDPR.
Hög sanktionsavgift pga bristande tekniska åtgärder
Sanktionsavgiften uppgick till 1 500 000 euro som den spanska motsvarigheten till IMY tilldelade företaget. I fallet handlade det bland annat om att tredje parter behandlade personuppgifter i samband med processen, vilket medför skyldigheter enligt GDPR.
Sanktionsavgiften var uppdelad i två delar varav ena blev 500 000 euro och den andra 1 000 000 euro. Detta eftersom det var flera överträdelser av GDPR.
Företaget hade inte heller tillräckliga dokument eller policys där behandlingen av personuppgifterna står reglerad, vilket var en faktor i beslutet. Enligt GDPR måste företag ha vissa dokument och avtal samt presentera en integritetspolicy till användarna/kunderna. Exempelvis personuppgiftsbiträdesavtal, integritetspolicy, interna rutiner, registerförteckning. Dessutom kan företag behöva upprätta en TIA (transfer impact assesment) eller en LIA (Legitimate interest assesment) och flera olika typer av interna rutiner. Det är även bra att ha skriftliga svarsmallar att använda när en person begär om att få reda på vilken information eller personuppgifter som ett företag behandlar om frågeställaren.
Här kan du läsa mer om detta ärendet via European Data Protection Boards hemsida.