Spanien: Elbolag bötfälls med 150 000 euro för otillåtna ändringar i elavtal

Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (AEPD) har bötfällt elbolaget Baser Comercializadora de Referencia, S.A. med 150 000 euro för överträdelse av artiklarna 6 och 32 i dataskyddsförordningen (GDPR).

Av beslutet framgår att en registrerad lämnat in ett klagomål mot elbolaget. Enligt klagomålet har en tredje part gjort ändringar i den registrerades elavtal utan hans tillstånd. Som bevis erbjöd den registrerade en ljudinspelning av ett samtal till elbolaget där en kvinna uppgett att hon är den registrerades syster. Kvinnan uppgav också att hon bor i sin brors hus och klagar över att hon har drabbats av strömavbrott på senare tid. Under samtalet informeras kvinnan om att den elektriska effekten minskats online på elbolagets webbplats, från 1,8 kW till 1,4 kW. Kvinnan begärde att elbolaget skulle ändra tillbaka elförsörjningen till 1,8 KW.

Enligt elbolagets interna rutiner ombeddes kvinnan att lämna vissa uppgifter om avtalet, exempelvis namn, efternamn, ID-nummer, telefonnummer och adress, som säkerhetsfrågor för att kunna ändra tillbaka den elektriska elförsörjningen till 1,8KW. I sitt försvar hävdade elbolaget att kvinnan genom att svara på dessa frågor lyckats gå förbi gällande säkerhetsåtgärder och att elbolaget därför haft fog för att anta att hon faktiskt var behörig att ändra avtalet på den registrerades vägnar.

Efter en genomgång av ärendet påpekade AEPD det faktum att sökandens syster kände till sin brors förnamn, efternamn, ID-nummer, telefonnummer och adress inte kunde leda till antagandet att hon var behörig att företräda honom och göra ändringar i avtalet med elbolaget. Enligt AEPD innebär familjeförhållandet mellan den registrerade och systern i detta fall att hon lätt kände till dessa uppgifter, men att dessa uppgifter också skulle kunna vara tillgängliga för andra tredje parter utan att den registrerade vet om det. AEPD konstaterade att enbart det faktum att någon kan ha kännedom om dessa uppgifter inte bör innebära att denne kan agera på den registrerades vägnar för att ändra det ingångna avtalet med elbolaget.

På grundval av dessa överväganden ansåg AEPD att elbolaget brutit mot artikel 32 GDPR genom att inte ha implementerat lämpliga säkerhetsåtgärder för att kontrollera om någon faktiskt var behörig att agera på den registrerades vägnar. AEPD ansåg också att elbolaget, genom att inte ha lämpliga säkerhetsåtgärder på plats, ändrat elavtalet utan den registrerades samtycke vilket utgör en överträdelse av artikel 6 GDPR.

Mot bakgrund av de ovannämnda överträdelserna ålade AEPD elbolaget böter på 150 000 euro, 50 000 euro för överträdelse av artikel 32 GDPR och 100 000 euro för överträdelse av artikel 6 GDPR.

Mer information

Myndighet: Agencia Espanola Proteccion Datos (AEPD)

Land: Spanien

Lagrum: Art. 6 GDPR, 32 GDPR

Sanktionsavgift: 150 000 euro

Mottagare: Baser Comercializadora de Referencia, S.A.

Beslutsnummer: PS/00476/2021

Beslutsdatum: N/A

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

03 OKT

Artificiell intelligens & personuppgifter

En genomgång av de viktigaste reglerna för artificiell intelligens ur ett dataskyddsperspektiv.

05 OKT

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.