Amadeus krijgt 14,4 miljoen euro boete voor illegaal gebruik passagiersgegevens

In dit artikel:

Amadeus IT Group is door de Spaanse privacytoezichthouder AEPD beboet voor het onrechtmatig verwerken van passagiersgegevens uit zijn GDS-platform. Naar aanleiding van een anonieme klacht onderzocht de AEPD of Amadeus Passenger Name Record‑(PNR)gegevens die oorspronkelijk voor reserveringen waren verzameld, later zonder toestemming werden hergebruikt om een pilot voor een nieuw product te testen. De gebruikte data dateren uit 2019.

Amadeus verweerde zich met een beroep op een gerechtvaardigd belang en verwees naar vermeldingen in het privacybeleid, maar de AEPD oordeelde dat dat niet volstond. De toezichthouder stelde dat de gegevens voor een ander doel werden aangewend dan waarvoor ze waren verzameld, dat Amadeus geen directe relatie met reizigers heeft en dat de verwerking onvoldoende specifiek in de privacyverklaring stond benoemd. Ook zou Amadeus geen rechtsgrond hebben voor het langer beschikbaar houden van identificeerbare reserveringsgegevens, waarmee Europese regels zijn overtreden die onder meer bepalen dat dergelijke gegevens 72 uur na de laatste reserveringscomponent niet meer online beschikbaar mogen zijn en na drie jaar moeten worden verwijderd.

De AEPD legde aanvankelijk een boete van 18 miljoen euro op; Amadeus betaalde zonder beroep waardoor volgens Spaanse regels een korting van 20% werd toegepast, waardoor het bedrag op 14,4 miljoen euro uitkwam. De zaak benadrukt de grenzen van “gerechtvaardigd belang”, de plicht tot doelbinding en bewaartermijnen onder de AVG.