Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 186 000 euro mot Barcelonesa de Drogas y Productos S.A.U. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Barcelonesa, i egenskap av personuppgiftsansvarig, den 20 februari 2024 anmälde ett personuppgiftsincident till AEPD. Incidenten avsåg ett dataintrång som innebar möjlig stöld av kreditkortsuppgifter kopplade till betalningar på bolagets webbplats.
Barcelonesa bedrev försäljning av produkter via sin webbplats, där kunders betalningsuppgifter behandlades genom ett integrerat betalningssystem. Dataintrånget orsakades av skadlig kod som injicerats i e-handelsapplikationen och som möjliggjorde insamling av kortinnehavaruppgifter, vilka därefter överfördes till en extern server.
Bolaget bedömde att intrånget kunde medföra begränsade men betydande olägenheter för de registrerade, såsom ekonomiska kostnader, nekad tjänst, stress eller mindre fysiska effekter. Inledningsvis uppskattades att 359 personer kunde ha berörts av incidenten, men endast en registrerad bekräftades vara drabbad och kontaktades per telefon. Övriga registrerade underrättades inte, med hänvisning till att risken bedömdes som låg. Efter incidenten ersatte Barcelonesa det befintliga betalningssystemet med en extern säker betalningsgateway. Mot bakgrund av incidenten inledde AEPD en utredning på eget initiativ (ex officio).
AEPD konstaterade att Barcelonesa hade brutit mot artikel 5.1 (f) GDPR genom att inte säkerställa en lämplig säkerhetsnivå för de personuppgifter som behandlades på webbplatsen. Utredningen visade att angripare hade utnyttjat långvariga och kända sårbarheter i bolagets servrar och injicerat skadlig kod som möjliggjorde avlyssning av kunders kreditkortsuppgifter vid onlineköp. Detta möjliggjordes av att Barcelonesa behandlade kortuppgifter på egna servrar genom ett integrerat betalningsformulär, i stället för att omdirigera användare till en säker extern betalningslösning.
Intrånget påverkade kunder som genomförde köp mellan den 13 och 14 februari 2024, och minst en kund utsattes för obehöriga debiteringar. En forensisk analys som AEPD lät genomföra visade att webbplatsen var fullt komprometterad och att cirka 170 kända sårbarheter, varav flera kritiska, hade förblivit ouppdaterade under flera år. Barcelonesa hade varken genomfört någon riskanalys av betalningssystemet eller vidtagit åtgärder med anledning av en tidigare varning från en registrerad.
Vidare konstaterdade AEPD att Barcelonesa hade brutit mot artikel 28.3 GDPR genom att anlita två externa tjänsteleverantörer för betalningsrelaterad behandling utan att ha ingått skriftliga personuppgiftsbiträdesavtal. Trots upprepade förfrågningar kunde bolaget inte uppvisa några sådana avtal, vilket bekräftade att behandlingen hade lagts ut på entreprenad utan de obligatoriska skyddsåtgärder som krävs enligt artikel 28.3 GDPR.
Mot denna bakgrund beslutade AEPD att påföra Barcelonesa en sanktionsavgift om 150 000 euro för överträdelse av artikel 5.1 (f) GDPR samt 160 000 euro för överträdelse av artikel 28.3 GDPR, sammanlagt 310 000 euro. Efter erkännande av ansvar och omgående betalning reducerades avgiften till 186 000 euro.