Valstybinė duomenų apsaugos inspekcija (VDAI) har utfärdat en sanktionsavgift på 20 000 euro mot ett företag för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att företaget drabbats av ett dataintrång där personuppgifter för 50 000 registrerade personer avslöjats. Under sin utredning konstaterade VDAI att företaget misslyckats med att genomföra lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter. Bland annat saknades adekvata åtkomstkontroller och autentisering av IT-systemadministratörer i den personuppgiftsansvariges informationssystem. VDAI konstaterade också att företaget inte fastställt en lämplig lagringsperiod för personuppgifter.
Enligt VDAI har företaget agerat i strid mot principen om lagringsminimering enligt artikel 5.1 (e) GDPR, principen om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR och kravet på lämpliga tekniska och organisatoriska säkerhetsåtgärder vid behandling av personuppgifter enligt artikel 32.1 GDPR.