En person lämnade in ett klagomål till sin lokala kommun i Spanien, som senare avvisades. En kommunfullmäktigeledamot publicerade därefter ett protokoll från ett kommunalt plenarmöte på sin personliga Facebook-profil samt i en Facebook-grupp med 400 medlemmar. Protokollet innehöll den klagande och hans frus personuppgifter.
Personen i fråga lämnade då in ett klagomål till den spanska dataskyddsmyndigheten angående denna publicering, och hävdade att syftet med publiceringen var att offentligt skämma ut honom. Kommunen svarade på klagomålet och påpekade att publiceringen gjordes på den ansvariges personliga profil och inte på något av kommunens konton. Kommunen hävdade att de publicerade personuppgifterna inte var känsliga och att det inte var möjligt att utelämna uppgifterna eftersom beslutet riktade sig mot den klagande och mötet var offentligt. Kommunen påpekade också att den klagande hade blivit fördömd av kommunfullmäktige, och att de publicerade anteckningarna från mötet rörde möjligheten att väcka åtal mot den klagande och hans hustru för falska anklagelser.
Dataskyddsmyndigheten inledde därefter ett sanktionsförfarande mot ledamoten. Myndigheten ansåg att publiceringen av den klagande och hans frus namn på ledamotens personliga profil och i en Facebook-grupp utgjorde behandling av personuppgifter enligt GDPR. Ledamoten hade inte någon laglig grund enligt GDPR för denna behandling.
Myndigheten rekommenderade en böter på €1,000 och uppmanade ledamoten att ta bort det publicerade innehållet från sin profil och från Facebook-gruppen där det hade postats. Enligt spansk lag informerades ledamoten om att denne kunde erkänna sitt ansvar och/eller betala det föreslagna bötesbeloppet, vilket skulle minska böterna med 20 % för vardera åtgärd. Ledamoten valde att både erkänna sitt ansvar och betala böterna, vilket resulterade i en reducerad sanktionsavgift på €600.
