Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 3,2 miljoner euro mot Centros Comerciales Carrefour S.A.(CCC) för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Centros Comerciales Carrefour utsattes för en cyberattack som ledde till att en stor mängd personuppgifter läckte ut. AEPD konstaterade att Centros Comerciales Carrefour inte vidtagit tillräckliga tekniska och organisatoriska åtgärder för att garantera säkerheten av personuppgifterna. Dessutom konstaterade AEPD att underrättelsen till de registrerade om dataintrånget varit otillräcklig.
Enligt AEPD utgjorde detta en överträdelse av principen om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR, kravet på lämpliga säkerhetsåtgärder enligt artikel 32 GDPR, samt informationskraven till registrerade om inträffas personuppgiftsincident artikel 34 GDPR.