Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 3 000 euro mot All About Water S.L. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att den registrerade köpte en produkt via All About Waters webbplats. Då den registrerade inte var nöjd med produkten framförde denne ett klagomål till All About Water via e-post. All About Water avslutade den registrerades ärende och förenade detta med ett annat klagomål, inlämnat av en annan person. Den registrerade fick därefter en rad e-postmeddelanden som rörde den tredje partens klagomål och som avslöjade dennes namn, efternamn och kontaktnummer. Den tredje parten fick också av misstag en e-posttråd som avslöjade den registrerades namn, efternamn, adress och telefonnummer.
Den registrerade lämnade in ett klagomål till AEPD. Under utredningen framkom att processen för att sammanföra klagomål utförs manuellt och att incidenten som gav upphov till klagomålet inträffade till följd av ett mänskligt misstag.
AEPD konstaterade att All About Water brutit mot principen om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR genom att inte behandla personuppgifter på ett sätt som säkerställer lämplig säkerhet. AEPD ansåg att överträdelsen var allvarlig till sin natur, eftersom en oåterkallelig förlust av kontroll över personuppgifterna hade inträffat och mottagandet av onlinebeställningar var All About Waters kärnverksamhet.