Платформата за резервации и управление на пътувания, която се използва от авиокомпании, агенции и хотели по целия свят, правила профили на пътници, без да ги информира
Испанската агенция за защита на данните (AEPD) съобщи, че AMADEUS е платил 14,4 млн. евро (около 16.7 милиона долара) от наложената санкция, след ползване на намаление от 20%. Първоначалният размер на глобата беше 18 милиона евро (около 20.9 милиона долара), но е намален с 20%, след като компанията извърши доброволно плащане, като си запази правото да обжалва наложената санкция.
AEPD започва разследване след анонимна жалба от 26 септември 2023 г., в която се твърди за неправомерно профилиране на пътници от AMADEUS – платформа за резервации и управление на пътувания, която се използва от авиокомпании, агенции и хотели по целия свят.
В жалбата се твърди, че чрез системи в пилотен проект са били консолидирани и профилирани данни от над 12 милиарда записа, включително данни на милиони европейски граждани, без предоставяне на информация и без валидно правно основание.
На 31 октомври 2023 г. AEPD възлага на оперативното си звено Subdirección General de Inspección de Datos (SGID) да започне предварителни проверки.
На 22 декември 2023 г. случаят е споделен чрез IMI системата с множество европейски надзорни органи, тъй като обработването е трансгранично и засяга пътници в над 15 държави, включително Франция, Италия, Германия, Швеция, Нидерландия, Полша, Финландия и др.
В отговорите си AMADEUS потвърждава, че използва данните както за резервации и издаване на билети, така и за аналитични и статистически цели, основани на „легитимен интерес“.
Проверката установява промени в политиката за поверителност през 2024 г., включително разширяване на описаните цели на обработване.
В хода на разследването AEPD приема за доказано, че AMADEUS е нарушил чл. 14 от GDPR – липса на предоставена информация, когато данните не са събрани директно от субекта; чл. 6 от GDPR – липса на валидно правно основание за определени аналитични и профилиращи дейности.
Допълнително са установени проблеми с регистъра на дейностите по обработване; оценките на въздействие и сроковете за съхранение на PNR данни, в противоречие с Регламент (ЕО) 80/2009.
На 21 май 2025 г. AEPD официално открива процедура по налагане на санкция срещу AMADEUS.
Компанията извършва доброволно плащане, което води до прекратяване на производството, съгласно механизма за намалена санкция при доброволно уреждане.