Spanien: Bayard Revistas bötfälls med 52 000 euro för otillräckliga säkerhetsåtgärder

Agencia Espanola Proteccion Datos (AEPD) har bötfällt Bayard Revistas S.A. med 52 000 euro för överträdelser av dataskyddsförordningen (GDPR).

Av beslutet framgår att en registrerad lämnat in ett klagomål till AEPD efter att den registrerade fått ett e-postmeddelande från den person som ansvarar för Bayards webbportal. I e-postmeddelandet informerades den registrerade om att en tredje part obehörigt hade fått tillgång till Bayards databas som innehöll uppgifter om plats och kontaktuppgifter som användarna lämnat genom ett registreringsformulär.

AEPD konstaterade att användarnas personuppgifter i Bayards databas olagligen lämnats ut till en tredje part, vilket innebar en överträdelse av principerna om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR. Dessutom konstaterade AEPD att Bayard i egenskap av personuppgiftsansvarig underlåtit att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa en adekvat säkerhetsnivå, vilket innebar en överträdelse av artikel 32 GDPR. Slutligen konstaterade AEPD att Bayard brutit mot artikel 33 GDPR eftersom Bayard var medveten om att företaget drabbats av en personuppgiftsincident den 28 oktober 2021 men inte informerat AEPD om händelsen förrän den 11 november 2021.

Vid kontakt med AEPD har Bayard försäkrat myndigheten om att företaget efter händelsen åtgärdat alla de sårbarheter som gjort personuppgiftsincidenten möjlig, infört protokoll för säkerhetsincidenter och vidtagit en rad åtgärder, som exempelvis kryptering av den lagrade informationen.

Mot bakgrund av ovanstående beslutade AEPD att bötfälla Bayard med 52 000 euro för de ovannämnda överträdelserna, ett belopp som sänkts till 31 200 euro på grund av frivillig betalning och erkännande av skuld.

Mer information

Myndighet: Agencia Espanola Proteccion Datos (AEPD)

Land: Spanien

Lagrum: Art. 5 GDPR, art. 32 GDPR, art. 33 GDPR

Sanktionsavgift: 52 000 euro

Mottagare: Bayard Revistas S.A.

Beslutsnummer: PS/00246/2022

Beslutsdatum: 2022-09-27

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

30 MAR

Introduktion till AI-förordningen

Få en genomgång av de viktigaste reglerna i nya AI-förordningen och hur AI-system kan användas på ett lagenligt sätt.

20 APR

Privacy by Design & Privacy by Default

En genomgång av de viktigaste åtgärderna för inbyggt dataskydd och dataskydd som standard.

27 APR

Informationssäkerhet & personuppgifter

Få en övergripande introduktion till informationssäkerhet vid behandling av personuppgifter.