Agencia Española de Protección de Datos (AEPD) har utfärdat en sanktionsavgift på 1 090 000 euro mot ett e-handelsföretag för överträdelser av dataskyddsförordningen (GDPR) i samband med ett dataintrång kopplat till äldre IT-system.
Bakgrund
Av beslutet framgår att e-handelsföretaget drev en e-handelsplattform för hantering av kundorder och kundkonton. I början av 2021 togs plattformen ur drift, men det äldre systemet kvarstod tillgängligt för interna ändamål och var fortsatt åtkomligt i driftmiljö.
Den 5 april 2023 informerade Instituto Nacional de Ciberseguridad (INCIBE), Spaniens nationella institut för cybersäkerhet, företaget om att en databas som påstods tillhöra företaget, innehållande över en miljon poster, erbjöds till försäljning på dark web. Den 12 april 2023 inkom en ytterligare anmälan från INCIBE, varefter företaget inledde en intern utredning.
Företaget ifrågasatte initialt kopplingen mellan den exponerade informationen och den egna databasen och bedömde risken som låg. Den 19 april 2023 anmäldes incidenten till tillsynsmyndigheten, men de registrerade informerades inte.
AEPD inledde därefter en utredning och konstaterade att uppgifterna härrörde från företagets databas och att det äldre systemet fortfarande var tillgängligt via internet, byggde på föråldrad programvara och saknade adekvata åtgärder för övervakning, loggning och åtkomstkontroll.
Myndighetens bedömning
AEPD konstaterade att lagring av personuppgifter i ett äldre system som fortfarande var tillgängligt och som byggde på föråldrad programvara utan adekvata säkerhetsåtgärder utgjorde en överträdelse av principen om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR och kravet på säkerhet vid behandling av personuppgifter enligt artikel 32 GDPR.
Vidare konstaterade AEPD att en personuppgiftsansvarig inte får skjuta upp anmälan av ett dataintrång på grund av osäkerhet om intrångets förekomst eller omfattning, utan måste agera vid rimliga tecken på att säkerheten äventyrats. Företaget bedömdes därför ha överträtt artikel 33 GDPR genom att inte anmäla incidenten till myndigheten inom 72 timmar.
Slutligen konstaterade AEPD att underlåtenheten att informera de registrerade utgjorde en överträdelse av artikel 34 GDPR, eftersom incidenten rörde en stor mängd personuppgifter och potentiella risker inte kunde uteslutas.
Praktiska konsekvenser
Beslutet påminner om vikten av att ha kontroll över hela sin systemmiljö, inklusive äldre eller avvecklade system, samt att ha tydliga rutiner för incidenthantering och anmälningsskyldighet. För verksamheter som hanterar personuppgifter är det avgörande att säkerhetsåtgärder, loggning och åtkomstkontroll upprätthålls löpande, inte enbart i aktiva produktionssystem.
Relaterad expertis
TechLaw bistår verksamheter med juridisk rådgivning i frågor som rör IT-säkerhet, dataskydd & integritet samt incidenthantering i teknikintensiva och regulatoriskt styrda miljöer. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor om hur dataskyddsreglerna påverkar er verksamhet är ni välkomna att kontakta oss.
Källa: AEPD.