Agencia Espanola Proteccion Datos (AEPD) har bötfällt Bayard Revistas S.A. med 52 000 euro för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en registrerad lämnat in ett klagomål till AEPD efter att den registrerade fått ett e-postmeddelande från den person som ansvarar för Bayards webbportal. I e-postmeddelandet informerades den registrerade om att en tredje part obehörigt hade fått tillgång till Bayards databas som innehöll uppgifter om plats och kontaktuppgifter som användarna lämnat genom ett registreringsformulär.
AEPD konstaterade att användarnas personuppgifter i Bayards databas olagligen lämnats ut till en tredje part, vilket innebar en överträdelse av principerna om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR. Dessutom konstaterade AEPD att Bayard i egenskap av personuppgiftsansvarig underlåtit att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa en adekvat säkerhetsnivå, vilket innebar en överträdelse av artikel 32 GDPR. Slutligen konstaterade AEPD att Bayard brutit mot artikel 33 GDPR eftersom Bayard var medveten om att företaget drabbats av en personuppgiftsincident den 28 oktober 2021 men inte informerat AEPD om händelsen förrän den 11 november 2021.
Vid kontakt med AEPD har Bayard försäkrat myndigheten om att företaget efter händelsen åtgärdat alla de sårbarheter som gjort personuppgiftsincidenten möjlig, infört protokoll för säkerhetsincidenter och vidtagit en rad åtgärder, som exempelvis kryptering av den lagrade informationen.
Mot bakgrund av ovanstående beslutade AEPD att bötfälla Bayard med 52 000 euro för de ovannämnda överträdelserna, ett belopp som sänkts till 31 200 euro på grund av frivillig betalning och erkännande av skuld.