Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (“AEPD”) har bötfällt Air Europa Lineas Aereas, SA. med 600 000 euro för brott mot artiklarna 32.1 och 33 dataskyddsförordningen (“GDPR”).
Av beslutet framgår att Air Europa anmält en inträffad personuppgiftsincident där cirka 489 000 personer och 1 500 000 dataposter innehållandes kontaktuppgifter och bankkontouppgifter obehörigen gjorts åtkomliga för tredje part.
Efter att AEPD utrett ärendet bötfällde myndigheten Air Europa med 500 000 euro för brott mot artikel 32.1 GDPR på grund av att flygbolaget inte vidtagit lämpliga tekniska och organisatoriska säkerhetsåtgärder vid behandling av personuppgifter, samt 100 000 euro brott mot artikel 33 GDPR då bolaget väntat 41 dagar med att informera AEPD om den inträffade incidenten.