Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 600 euro mot en spansk fastighetsägarförening för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att AEPD tagit emot ett klagomål mot fastighetsägarföreningen efter att de hade spridit och hanterat personuppgifter på ett osäkert sätt. Enligt den klagande hade fastighetsägarföreningen skickat ut kallelser till föreningsstämma där inloggningsuppgifter till en intern webbportal fanns med. Portalen innehöll personuppgifter om de boende, inklusive namn, adresser, skuldinformation och bankuppgifter. Alla medlemmar använde samma användarnamn och lösenord, och webbplatsen saknade krypterad anslutning (HTTPS). Det innebar att vem som helst med uppgifterna kunde logga in, ta del av informationen och även ändra lösenordet, vilket i praktiken kunde stänga ute övriga medlemmar.
AEPD konstaterade att fastighetsägarföreningen inte hade vidtagit tillräckliga tekniska och organisatoriska åtgärder för att skydda personuppgifter, i strid med artikel 32 GDPR.
Sanktionsavgiften uppgick till 1 000 euro, men sänktes till 600 euro efter att fastighetsägarföreningen gjort en omgående betalning och erkänt sitt ansvar för överträdelsen.