Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 5 000 euro mot en personuppgiftsansvarig för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att den registrerade fått ett e-postmeddelande från den personuppgiftsansvarige med ämnet ”horror dinner”. E-postmeddelandet innehöll synliga e-postadresser till flera andra mottagare då den personuppgiftsansvarige inte använt verktyget för hemlig kopia (BCC). Den registrerade tog en skärmdump och uppmärksammade AEPD på det inträffade och lämnade in ett klagomål.
AEPD konstaterade inledningsvis att den personuppgiftsansvarige haft en rättslig grund för behandlingen av personuppgifter då det fanns ett berättigade intresse av att erbjuda produkter och tjänster till sina kunder.
AEPD konstaterade vidare att den personuppgiftsansvarige genom att skicka ett e-postmeddelande till flera mottagare utan att använda verktyget för hemlig kopia brutit mot principen om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR. Den personuppgiftsansvarige gav därmed tillgång till den registrerades e-postadress till en lång rad mottagare utan att ha fått deras samtycke till detta.
AEPD betonade att registrerades integritet, måste iakttas inte bara av personuppgiftsansvariga och personuppgiftsbiträden, utan av alla som ingriper i något skede av behandlingsprocessen. På samma sätt ansåg AEPD att det faktum att ett e-postmeddelande skickas till ett stort antal mottagare utan att vertyget för hemlig kopia använts innebär en personuppgiftsincident, i den mån den personuppgiftsansvarige inte vidtagit lämpliga tekniska och organisatoriska åtgärder för att förhindra att tredje part får obehörig åtkomst till personuppgifter, vilket också innebär en överträdelse av artikel 32.1 GDPR.
Mot bakgrund av ovanstående ålade AEPD en sanktionsavgift på 3 000 euro mot den personuppgiftsansvarige för överträdelse av artikel 5.1 (f) GDPR och ytterligare 2 000 euro för överträdelse av artikel 32.1 GDPR.
TechLaw bistår verksamheter i frågor som rör e-posthantering, personuppgiftsincidenter och dataskydd. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor är ni välkomna att kontakta Carina Berg, partner och jurist specialiserad inom dataskydd och affärsjuridik i teknikintensiva verksamheter.
Källa: AEPD.