Gegevensbeschermingsautoriteit (GBA) har utfärdat en sanktionsavgift på 2 500 euro mot ett företag för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att det aktuella företaget driver en digital administrationsplattform där leverantörer och kunder kan kommunicera och ladda upp administrativa dokument. En person, som inte själv är medlem i plattformen, lämnade in ett klagomål till GBA.
Eftersom klagandens rumskompis är medlem i plattformen bad klaganden rumskompisen att ladda upp den gemensamma vattenräkningen, som stod i klagandens namn. Plattformen kände igen den klagandes namn och skickade en inbjudan till rumskompisen för att få kontakt med ytterligare företag via plattformen där den klagande var kund. Även om rumskompisen inte accepterade inbjudan kunde rumskompisen se olika uppgifter om den klagande.
GBA konstaterade att företaget underlåtit att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter, för att till exempel förhindra enkel tillgång till uppgifter från tredje part, vilket utgjorde en överträdelse av artikel 32 GRPR. GBA konstaterade också att företaget brutit mot principen om korrekthet enligt artikel 5.1 (d) GDPR och principen om personuppgiftsansvarigas ansvarsskyldighet enligt artikel 5.2 GDPR.