Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (AEPD) har bötfällt elbolaget Baser Comercializadora de Referencia, S.A. med 150 000 euro för överträdelse av artiklarna 6 och 32 i dataskyddsförordningen (GDPR).
Av beslutet framgår att en registrerad lämnat in ett klagomål mot elbolaget. Enligt klagomålet har en tredje part gjort ändringar i den registrerades elavtal utan hans tillstånd. Som bevis erbjöd den registrerade en ljudinspelning av ett samtal till elbolaget där en kvinna uppgett att hon är den registrerades syster. Kvinnan uppgav också att hon bor i sin brors hus och klagar över att hon har drabbats av strömavbrott på senare tid. Under samtalet informeras kvinnan om att den elektriska effekten minskats online på elbolagets webbplats, från 1,8 kW till 1,4 kW. Kvinnan begärde att elbolaget skulle ändra tillbaka elförsörjningen till 1,8 KW.
Enligt elbolagets interna rutiner ombeddes kvinnan att lämna vissa uppgifter om avtalet, exempelvis namn, efternamn, ID-nummer, telefonnummer och adress, som säkerhetsfrågor för att kunna ändra tillbaka den elektriska elförsörjningen till 1,8KW. I sitt försvar hävdade elbolaget att kvinnan genom att svara på dessa frågor lyckats gå förbi gällande säkerhetsåtgärder och att elbolaget därför haft fog för att anta att hon faktiskt var behörig att ändra avtalet på den registrerades vägnar.
Efter en genomgång av ärendet påpekade AEPD det faktum att sökandens syster kände till sin brors förnamn, efternamn, ID-nummer, telefonnummer och adress inte kunde leda till antagandet att hon var behörig att företräda honom och göra ändringar i avtalet med elbolaget. Enligt AEPD innebär familjeförhållandet mellan den registrerade och systern i detta fall att hon lätt kände till dessa uppgifter, men att dessa uppgifter också skulle kunna vara tillgängliga för andra tredje parter utan att den registrerade vet om det. AEPD konstaterade att enbart det faktum att någon kan ha kännedom om dessa uppgifter inte bör innebära att denne kan agera på den registrerades vägnar för att ändra det ingångna avtalet med elbolaget.
På grundval av dessa överväganden ansåg AEPD att elbolaget brutit mot artikel 32 GDPR genom att inte ha implementerat lämpliga säkerhetsåtgärder för att kontrollera om någon faktiskt var behörig att agera på den registrerades vägnar. AEPD ansåg också att elbolaget, genom att inte ha lämpliga säkerhetsåtgärder på plats, ändrat elavtalet utan den registrerades samtycke vilket utgör en överträdelse av artikel 6 GDPR.
Mot bakgrund av de ovannämnda överträdelserna ålade AEPD elbolaget böter på 150 000 euro, 50 000 euro för överträdelse av artikel 32 GDPR och 100 000 euro för överträdelse av artikel 6 GDPR.