Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 6,5 miljoner euro mot Phone House Spain S.L. (TPHS) för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att AEPD tagit emot en anmälan om en personuppgiftsincident som registrerats av TPHS. Enligt anmälan hade cirka 13 miljoner personer påverkades av personuppgiftsincidenten. Angriparna hade laddat ner en databas med personuppgifter om kunder, tidigare kunder, leverantörer och anställda hos TPHS och publicerade informationen på en offentlig webbplats. Bland personuppgifterna fanns namn, id-nummer, postadresser, e-postadresser, mobilnummer, nationalitet, kön, födelsedatum, bankkontonummer samt anställningsuppgifter för de anställda. TPHS lagrade uppgifterna i klartext utan att vidta några åtgärder för pseudonymisering eller anonymisering.
TPHS hävdade att adekvata åtgärder vidtagits och att attacken inte kunde förhindras på grund av angriparnas tekniska expertis. TPHS hävdade framför allt att det inte fanns något samband mellan den påstådda otillräckligheten av säkerhetsåtgärder och incidenten, eftersom mer robusta åtgärder inte hade kunnat förhindra attacken. Det gick därför inte att fastställa något orsakssamband mellan TPHS:s åtgärder och incidenten. TPHS hävdade istället att företaget var ett offer för en oförutsedd attack och att alla säkerhetssystem visserligen kan förbättras, men att artikel 5.1 (f) GDPR inte kan tolkas som en skyldighet att uppnå ett visst resultat.
AEPD konstaterade att artikel 5.1 (f) GDPR överträds vid en personuppgiftsincident oavsett om incidenten orsakats av avsaknad av eller brister i säkerhetsåtgärder. I egenskap av personuppgiftsansvarig för stora mängder personuppgifter avseende ett stort antal personer borde TPHS ha förutsett riskerna och vidtagit åtgärder som kunde ha förhindrat cyberattacken. AEPD utfärdade därför TPHS med 4 miljoner euro för överträdelsen av artikel 5.1 (f) GDPR och 2,5 miljoner euro för överträdelsen av artikel 32 GDPR.
Som förmildrande omständigheter ansåg AEPD att TPHS inte dragit någon nytta av cyberattacken och att TPHS omsorgsfullt underrättat myndigheten om incidenten.
Som försvårande omständigheter lyfte AEPD fram mängden personuppgifter som läckt ut och antalet personer som påverkats av intrånget. Vidare framhölls att en konsekvensbedömning avseende dataskydd från 2018, som lämnats in av TPHS, innehöll en förteckning över just de brister i säkerhetssystemet som sedan möjliggjorde cyberattacken. Underlåtenheten att åtgärda dessa problem under en period av två år visade tydligt att TPHS agerat försumligt.