Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 500 000 euro mot Santander Consumer Finance S.A. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att två personuppgiftsbiträden till Santander Consumer Finance i oktober och november 2022 rapporterade en personuppgiftsincident till AEPD. Incidenten resulterade i att känsliga personuppgifter såsom namn, kontaktuppgifter, IBAN-nummer och ID-handlingar för över 100 000 registrerade spreds, bland annat på dark web. AEPD konstaterade att även om incidenten först anmälts av biträdena, bar Santander Consumer Finance som personuppgiftsansvarig det övergripande ansvaret för säkerheten i behandlingen (jfr artiklarna 24 och 28 GDPR).
Utredningen visade att Santander Consumer Finance fram till 2021 lagrade IBAN-nummer utan pseudonymisering, vilket enligt AEPD innebar en betydande risk för obehörig åtkomst och missbruk. Myndigheten fann vidare att banken inte tillhandahållit tillräckliga instruktioner till sina personuppgiftsbiträden och därmed inte uppfyllt kravet på att skydda personuppgifter mot obehörig eller otillåten behandling enligt principen om integritet och konfidentialitet i artikel 5.1 (f) GDPR. AEPD framhöll att den obehöriga åtkomsten hade kunnat undvikas om uppgifterna pseudonymiserats eller anonymiserats. Bankens invändning om att ansvaret främst låg hos personuppgiftsbiträdena avvisades, och AEPD betonade att Santander Consumer Finance brustit i att vidta nödvändiga tekniska och organisatoriska åtgärder enligt artikel 32 GDPR.
Med hänsyn till det stora antalet registrerade som drabbats och uppgifternas särskilda känslighet bedömde AEPD överträdelsen som allvarlig. Santander Consumer Finance ålades därför en administrativ sanktionsavgift om 500 000 euro samt skyldighet att införa adekvata säkerhetsåtgärder för att förebygga framtida överträdelser.