Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 500 000 euro mot ett energibolag för felaktig hantering av kunduppgifter i strid med dataskyddsförordningen (GDPR).
Av beslutet framgår att AEPD tagit emot en formell anmälan från en privatperson mot energibolaget. Den klagande uppgav att han vid flera tillfällen hade mottagit e-postmeddelanden från bolaget som var avsedda för en annan kund och som innehöll dennes personuppgifter, däribland namn, adress, kundnummer, fakturauppgifter och information om obetald skuld. Uppgifterna hade därmed röjts för en obehörig mottagare. Energibolaget förklarade att incidenten berodde på ett mänskligt misstag hos en kundtjänstmedarbetare som samtidigt hanterade flera ärenden, och att felet åtgärdades genom att den klagandes e-postadress togs bort från den berörda kundprofilen.
AEPD konstaterade att energibolaget inte hade infört tillräckliga kontroller eller rutiner för att förhindra att e-postadresser felaktigt kopplades till fel kundprofil, trots att denna risk var förutsebar i den aktuella kundserviceverksamheten. Energibolaget hade därför, genom den felaktiga behandlingen och utlämnandet av personuppgifter, åsidosatt kraven på inbytt dataskydd och dataskydd som standard enligt artikel 25 GDPR.
Beslutet visar vikten av att organisationer inför tillräckliga tekniska och organisatoriska kontroller för att förhindra att personuppgifter felaktigt kopplas till eller lämnas ut till fel mottagare.
TechLaw bistår verksamheter i frågor som rör dataskydd, personuppgiftsansvar och regelefterlevnad enligt GDPR. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor om hur dataskyddsreglerna påverkar er verksamhet är ni välkomna att kontakta oss.
Källa: AEPD.