Den belgiska dataskyddsmyndigheten Gegevensbeschermingsautoriteit (GBA) har varnat en bilhandlare för överträdelse av artiklarna 12 och 15 i dataskyddsförordningen (GDPR) genom att inte uppfylla en begäran om tillgång till uppgifter, samt mot artiklarna 5.1 (f), 5.2, 24 och 32 GDPR på grund av bristande säkerhetsåtgärder som lett till ett dataintrång.
Av beslutet framgår att en registrerad, efter att ha ingått avtal om köp av ett fordon, fått två på varandra följande e-postmeddelanden från en anställd hos bilhandlaren. Det första e-postmeddelandet innehöll det belopp som den registrerade fortfarande hade kvar att betala, samt det bankkontonummer som transaktionen skulle utfärdas till. Det andra e-postmeddelandet, som skickades från samma e-postadress, innehöll en rättelse och ett annat bankkontonummer som transaktionen skulle utfärdas till.
Först efter att den registrerade gjort transaktionen till det bankkontonummer som angavs i det andra e-postmeddelandet fick den registrerade reda på att bilhandlarens datorsystem hackats och att den registrerade blivit utsatt för ett bedrägeri på grund av att den anställdes e-postadress hade använts. Såväl den registrerade som bilhandlaren anmälde händelsen till polisen.
Den 4 maj 2021 skickade den registrerade en begäran om tillgång till bilhandlaren för att få veta vilka personuppgifter som företaget behandlade och vilka personuppgifter som hade utsatts för dataintrånget. Bilhandlaren ignorerade begäran och lämnade den obesvarad. Den 8 juli 2021 lämnade den registrerade därför in ett klagomål till GBA för att begäran om tillgång till information inte hade besvarats och för att bilhandlarens skyldigheter att säkerställa en lämplig säkerhetsnivå åsidosatts.
GBA noterade att den registrerade lämnat in en begäran om tillgång enligt artikel 15 GDPR och att villkoren i artikel 12 GDPR följdes. GBA klargjorde sedan att det är bilhandlarens skyldighet att tillhandahålla den begärda informationen till den registrerade utan onödigt dröjsmål, och under alla omständigheter inom en månad. GBA ansåg att bilhandlaren genom att ignorera begäran om tillgång till information bröt mot artiklarna 12.3, 12.4 och 15.1 GDPR. GBA beordrade därför bilhandlaren att ge den registrerade en kopia av alla personuppgifter som finns, med angivande av vilka uppgifter som hade varit föremål för dataintrånget.
Vidare betonade GBA att bilhandlaren omfattas av principen om integritet och konfidentialitet som fastställs i artiklarna 5.1 (f) och 32 GDPR. Enligt denna princip ska den personuppgiftsansvarige säkerställa säkerheten, integriteten och konfidentialiteten hos de personuppgifter som han eller hon innehar med hjälp av lämpliga tekniska och organisatoriska åtgärder, särskilt mot obehörig eller olaglig behandling och mot oavsiktlig förlust, förstörelse eller ändring av uppgifterna. GBA ansåg också att artikel 32 GDPR ska läsas i kombination med artiklarna 5.2, 24 och 25 GDPR. Principen om ansvarsskyldighet syftar tillsammans med artikel 24.1 och 24.2 GDPR till att säkerställa att den personuppgiftsansvarige tillämpar lämpliga säkerhetsåtgärder som står i proportion till sammanhanget för behandlingen och nivån på den potentiella risken.
GBA betonade i sitt beslut att bilhandlaren säljer lyxbilar och att detta innebär finansiella transaktioner av relativt högt värde. Enligt GBA var det uppenbart att de tekniska och organisatoriska åtgärder som bilhandlaren vidtagit inte var tillräckliga med tanke på den potentiella risknivån. GBA ansåg att bilhandlaren till exempel kunde ha vidtagit åtgärder för att skydda de anställdas e-postadresser för att förhindra hackning, och överväga metoder som stärker säkerheten eller förbättrar kommunikationen av bankinformation.
Sammanfattningsvis drog GBA slutsatsen att bilhandlaren hade brutit mot artiklarna 5.1 (f), 5.2, 24 och 32 GDPR. Dessutom konstaterade GBA att bilhandlaren brutit mot artikel 33 GDPR genom att inte underrätta myndigheten om dataintrånget.
Mot bakgrund av ovanstående utfärdade GBA en varning i enlighet med 58.2 (a) GDPR och beordrade bilhandlaren att uppfylla den registrerades begäran om tillgång genom att ge den begärda informationen inom 14 dagar i enlighet med 58.2 (c) GDPR.