Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 4 200 euro mot Pillow Hotels S.L. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en person lämnat in ett klagomål till AEPD. Personen hade gjort en bokning för en övernattning hos Pillow Hotels via booking.com. Några dagar före resan fick den registrerade ett WhatsApp-meddelande från en person som påstod sig vara hotelldirektör och som tilltalade den registrerade med för- och efternamn och bad denne att bekräfta bokningen genom att gå till en bedräglig länk för att ange sina kreditkortsuppgifter. Den registrerade kontaktade hotellet för att bekräfta bedrägeriet och fick veta att liknande fall redan var kända.
Under sin utredning konstaterade AEPD att Pillow Hotels underlåtit att vidta lämpliga tekniska och organisatoriska åtgärder för att förhindra sådana bedrägerier. AEPD konstaterade också att Pillow Hotels underlåtit att rapportera dessa dataintrång till myndigheten. Enligt AEPD utgjorde detta en överträdelser av artiklarna 5.1 (f), 32.1 och 33.1 GDPR. Sanktionsavgiften uppgick ursprungligen till 7 000 euro, men sänktes till 4 200 euro efter att Pillow Hotels gjort en omgående betalning och erkänt sitt ansvar för överträdelsen.