Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 70 000 euro mot Digi Spain Telecom SL för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Digi Spain Telecom fått ett samtal där en person begärt en kopia av ett SIM-kort. Under samtalet bad Digi Spain Telecom personen att lämna fler personuppgifter för att bekräfta sin identitet och verifiera att denne var innehavaren av SIM-kortet. Efter att ha autentiserat den uppringande personen felaktigt gav Digi Spain Telecom personen en kod för att begära en kopia av SIM-kortet. Samma dag begav sig den uppringande personen till Digi Spain Telecoms distributionsställe där personen använde koden för att få kopian av SIM-kortet.
Den registrerade lämnade in ett klagomål till AEPD mot Digi Spain Telecom. Den registrerade hävdade att det otillåtna tillhandahållandet av SIM-kortet gjort det möjligt för en tredje part att använda SIM-kortet för identitetsstöld, vilket orsakat den registrerade allvarliga ekonomiska förluster. Enligt den registrerade användes SIM-kortet för att kringgå ett bankautentiseringssystem och utföra överföringar från den registrerades konto genom att låtsas vara dess innehavare. Digi Spain Telecom anklagades för att ha brutit mot artikel 6.1 GDPR
Som svar hävdade Digi Spain Telecom att företaget inte tillhandahöll några personuppgifter till bedragaren och förnekade att det förekom någon olaglig behandling av uppgifter. Dessutom hävdade Digi Spain Telecom att tillhandahållandet av SIM-kortet inte är tillräckligt för att genomföra banköverföringar.
På grundval av de bevisade omständigheterna drog AEPD slutsatsen att Digi Spain Telecom av oaktsamhet tillhandahållit en kopia av SIM-kortet till någon annan än den legitima innehavaren av mobiltelefonen, efter att denna tredje part övervunnit dess autentiseringsmetoder.
AEPD konstaterade att Digi Spain Telecom vid tillhandahållandet av SIM-kortet på sitt distributionsställe kunde ha begärt den registrerades ursprungliga identitetshandling och på så sätt ha undvikit bedrägeriet. AEPD konstaterade därför en överträdelse av skyldigheten att skydda kundinformation eftersom Digi Spain Telecom inte garanterade en adekvat säkerhetsnivå vid behandlingen av personuppgifter. Enligt AEPD har bedragaren från och med det ögonblick då denne ersatt det ursprungliga SIM-kortet fått kontroll över den registrerades personuppgifter och därmed tillgång till den registrerades bankkonton.
Mot bakgrund av ovanstående ansåg AEPD att det inträffade innebar en olaglig behandling eftersom en tredje part fått tillgång till personuppgifter utan rättslig grund, vilket utgjorde en överträdelse av artikel 6.1 GDPR.
TechLaw bistår verksamheter i frågor som rör dataskydd, bristande identitetskontroll och rättslig grund för behandling av personuppgifter. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor är ni välkomna att kontakta Carina Berg, partner och jurist specialiserad inom dataskydd och affärsjuridik i teknikintensiva verksamheter.
Källa: AEPD.