Agencia Espanola Proteccion Datos (AEPD) har utfördat en sanktionsavgift på 6 400 euro mot AIO E-Commerce S.L. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att AIO drabbats av ett dataintrång som resulterat i obehörig åtkomst och spridning av personuppgifter och bankuppgifter för över 2 000 kinesiska användare bosatta i Spanien. Uppgifterna såldes därefter på olika kinesiska internetforum.
Som en del av sin utredning konstaterade AEPD att AIO underlåtit att genomföra lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna av artiklarna 5.1 (f) och 32 GDPR. AEPD konstaterade också att AIO brutit mot principen om uppgiftsminimering enligt artikel 5.1(c) GDPR genom att lagra alla siffror i de berörda kreditkortsnumren i stället för bara de fyra sista.