Agencia Espanola Proteccion Datos (AEPD) har bötfällt Naturgy Enery Group S.A. med 80 000 euro för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en kund till Naturgy Energy Group, en gas- och elleverantör, upptäckt att hennes e-postadress som registrerats hos företaget ändrats av en tredje part. Denna tredje part bad också Naturgy Energy Group att skicka två av den registrerades fakturor till honom.
När den registrerade fick kännedom om ändringen lämnade hon in ett klagomål till Naturgy Energy Group. Naturgy Energy Group uppgav dock att de inte gjort något fel, eftersom de ställde de frågor som var nödvändiga enligt företagets säkerhetspolicy. Den tredje parten identifierade sig som en släkting till den registrerade och gav Naturgy Energy Group den registrerades namn, ID-nummer, adress, de fyra sista siffrorna på hennes bankkonto och hennes kontraktsreferensnummer. Den registrerade lämnade därför in ett klagomål AEPD då Naturgy Energy Group, utan hennes samtycke, ändrat hennes avtalsuppgifter, särskilt hennes e-postadress.
AEPD konstaterade att Naturgy Energy Group trots de nämnda säkerhetsåtgärderna till slut skickade två fakturor till en e-postadress tillhörande en person som påstod sig ha någon form av relation med den registrerade. Enligt AEPD utgör detta en överträdelse av principen om integritet och konfidentialitet i artikel 5.1 (f) GDPR.
AEPD konstaterade vidare att de säkerhetsåtgärder som vidtagits uppenbarligen inte varit tillräckliga för att förhindra de händelser som nämns ovan. AEPD ansåg därför att Naturgy Energy Group också brutit mot artikel 32 GDPR genom att inte vidta nödvändiga säkerhetsåtgärder för att garantera skyddet av de registrerades personuppgifter.
Mot bakgrund av ovanstående ålade AEPD Naturgy Energy Group böter på 80 000 euro; 50 000 euro för överträdelsen av artikel 5.1 (f) GDPR och 30 000 euro för överträdelsen av artikel 32 GDPR.