De Amadeus IT Group, leverancier van het gelijknamige reserveringssysteem Amadeus, heeft wegens het illegaal gebruik van passagiersgegevens een boete van 14,4 miljoen euro gekregen. De boete werd opgelegd door de Spaanse privacytoezichthouder AEPD. Het Global Distribution System (GDS) van Amadeus wordt gebruikt voor vluchtreserveringen, alsmede hotelboekingen en autoverhuur. Het is een platform waar reisaanbieders, zoals luchtvaartmaatschappen, hotels en autoverhuurbedrijven, met reisbureaus in contact kunnen komen. Reisbureaus kunnen zo bij meerdere partijen beschikbaarheid en prijzen vergelijken.

De AEPD startte na een anonieme klacht een onderzoek naar Amadeus. Volgens de klager was de persoonlijke data van passagiers wereldwijd in een dataplatform verzameld en gebruikt voor het aanleggen van profielen en reisgeschiedenis. Dit was gedaan zonder toestemming en medeweten van de betreffende personen. Tijdens het onderzoek ontdekte de Spaanse privacytoezichthouder dat Amadeus de Passenger Name Record (PNR) gegevens van het eigen GDS-platform voor een pilot project had gebruikt. De betreffende persoonsgegevens waren ooit verzameld voor reisreserveringen, maar werden later gebruikt om de haalbaarheid van een nieuw te ontwikkelen product te testen.

Amadeus verklaarde dat het een gerechtvaardigd belang voor de gegevensverwerking had en dat deze verwerking in het privacybeleid stond vermeld. De Spaanse privacytoezichthouder was het hier niet mee eens en stelde dat het bedrijf de AVG op meerdere punten had overtreden. Zo had het de gegevens niet zelf van de personen in kwestie ontvangen en werd de data voor een ander doeleinde gebruikt dan waar ze oorspronkelijk voor waren verzameld. Daarnaast stonden in het privacybeleid alleen een algemene vermelding, terwijl Amadeus de betreffende gegevensverwerking nadrukkelijk had moeten vermelden. De GDS-dienst is gericht op bedrijven en Amadeus heeft geen directe relatie met reizigers.

Tevens stelt de AEPD dat het bedrijf geen beroep kon doen op een gerechtvaardigd belang voor gegevens die jaren geleden voor reserveringen waren verzameld om die later voor een pilot project te gebruiken. Amadeus had ook geen andere geldige grondslag voor de gegevensverwerking. Daarnaast is er Europese regelgeving die stelt dat identificeerbare reserveringsgegevens 72 uur na het laatste element van de reservering niet meer online toegankelijk mogen zijn en na drie jaar helemaal vernietigd moeten worden. De data die Amadeus gebruikte dateerde van 2019.

Voor het overtreden van de AVG kreeg het bedrijf een boete van in totaal 18 miljoen euro opgelegd. Spaanse wetgeving biedt bedrijven en organisaties de mogelijkheid om korting te krijgen als men verantwoordelijkheid neemt en de voorgestelde boete betaalt. Elke optie verlaagt de boete met twintig procent. De bank besloot niet in beroep te gaan en de boete te betalen, wat een korting van twintig procent opleverde en het boetebedrag verlaagde tot 14,4 miljoen euro (pdf).