Agencia Espanola Proteccion Datos (AEPD) och Autoritat Catalana de Protecció de Dades (APDCAT) har utfärdat en sanktionsavgift på 1 800 euro mot Eulen, Servicios Sociosanitarios, S.A för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att APDCAT tagit emot ett antal klagomål mot Eulen som bedriver ett arbetscenter för personer med funktionsnedsättning. I klagomålen hävdades att anställda hos Eulen vid sex tillfällen skickat flera e-postmeddelanden till patienters familjer och vårdnadshavare utan att använda alternativet för dold kopia (BCC).
Incidenterna rörde e-postlistor med över 50 registrerade och innehöll namn, efternamn och e-postadresser för flera registrerade, samt deras status som familj och vårdnadshavare. Eftersom vissa e-postadresser innehöll en företagsdomän kunde man i vissa fall dra slutsatser om vilken organisation de registrerade tillhörde.
Som svar på klagomålen inledde AEPD en utredning. Som svar uppgav Eulen det inträffade orsakats av ett mänskligt misstag och en överträdelse av företagets policy, eftersom den vanliga åtgärden enligt instruktioner till anställda var att använda BCC.
AEPD konstaterade att Eulen brutit mot principen om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR när de skickade e-postmeddelandena utan att använda alternativet för BCC. Vid bedömningen av sanktionens lämplighet beaktade AEPD Eulens ansvar för e-postmeddelandena. AEPD ansåg att även om mänskliga fel i strid med företagets policy inträffar, måste Eulen svara för personalens bristande aktsamhet. AEPD tog också hänsyn till de säkerhetsåtgärder som Eulen vidtagit, inklusive fortsatta utbildningsinsatser och ett nytt förfarande som inför varningar när ett stort antal icke-företagsrelaterade e-postmeddelanden ingår i ett e-postmeddelande.
Sanktionsavgiften uppgick ursprungligen till 3 000 euro, men sänktes till 1 800 euro efter att Eulen Servicios Sociosanitarios gjort en omgående betalning och erkänt sitt ansvar för överträdelsen.