Datenschutzbehörde (DSB) har utfärdat en sanktionsavgift på 870 euro mot en reklambyrå för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att reklambyrån under perioden mellan slutet av januari och början av maj 2025 haft allvarliga brister då bolaget, efter att ha informerats om en säkerhetslucka på en subdomän där katalogfiler med personuppgifter varit öppet åtkomliga, inte vidtog de åtgärder som krävs för att följa sina skyldigheter vid inträffad personuppgiftsincident. Den tillgängliga informationen visade att katalogfiler innehållande namn, e-post, födelsedatum, kön, telefonnummer, företagstillhörighet med mera hade kunnat laddas ner av obehöriga. Trots att bolaget kände till incidenten anmälde det inte den till tillsynsmyndigheten inom 72 timmar, vilket krävs enligt artikel 33 GDPR när en incident “kan medföra en risk för fysiska personers rättigheter och friheter”.
När DSB inledde ett tillsynsärende och begärde förklaring, rapporterade bolaget incidenten först i maj 2025, med komplettering i juli 2025. Eftersom bolaget underlåtit att anmäla incidenten i tid, bedömdes dess hantering utgöra en överträdelse av artikel 33 GDPR.