İspanyol Veri Koruma Kurumu- Veri İhlal Bildirimi

İspanyol DPA, uygun bir yasal dayanak olmaksızın, veri sahibine hizmet sunmak için üçüncü bir taraftan kişisel veriler alan bir emlak acentesine 5.000 Euro para cezasına hükmetti. Şöyle ki; Bir emlak acentesinin çalışanları, babasının sahip olduğu bir mülkle ilgili hizmetlerini sunmak için veri sahibinin evine geldi. Veri sahibi çalışanlara kendisinin ve babasının kişisel verilerini nereden elde ettiklerini sordu. Buna yanıt olarak çalışanlar, ajansın bu hizmet için bir web sitesi kullandığını bildirdi.

Veri sahibi, verilerinin üçüncü bir kişiden alınmasının ve tanıtım amacıyla kullanılmasının yasa dışı olduğu iddiası ile İspanyol DPA'ya şikayette bulundu.

Kontrolör, çalışanlarının onun adını komşularından aldığını ve onun nerede yaşadığını öğrenmek ve ona hizmet sunmak için Quality Provider adlı bir web sitesini kullandığını itiraf etti.

İspanya Veri Koruma Kurumu, bir emlak ajansının veri sahibinin adres verilerini elde etmek için bir web sitesi kullandığını ve kişisel verilerin her türlü işlenmesinin yasal bir temele ihtiyaç duyduğunu vurgulayarak incelemeye başladı. 

Kişisel verilere erişimin hukuki bir temelle desteklenmesi gerektiğini belirten kurum, kontrolör sıfatına sahip olan ajansın, GDPR 6/1 maddesinde yer alan gerekçelerden herhangi birini eylemi için meşrulaştırıcı bir temel olarak belirtmediğini tespit ederek GDPR'nin 6/1 maddesinin ihlal edilmesinden dolayı 5.000 Euro para cezası verdi.