Agencia Española de Protección de Datos (AEPD) har utfärdat en sanktionsavgift på 1,5 miljoner euro mot Servicios Financieros Carrefour E.F.C. S.A. (SFC) för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att SFC är ett finansiellt kreditföretag och en av bolagets produkter är kopplad till stormarknadskedjan Carrefour. Företaget rapporterade ett dataintrång till AEPD som berörde registrerades personuppgifter, inklusive betalningsmetoder, kontaktuppgifter och ID-nummer.
AEPD:s utredning inleddes efter dataintrånget och 16 klagomål från registrerade som inkom mellan december 2023 och september 2024. Flera av de drabbade hade fått phishingmejl som innehöll deras personuppgifter, vilka obehöriga tredje parter hade kommit över. SFC uppgav att man hade informerat de flesta registrerade om dataintrånget, även dem som lämnat in klagomål.
AEPD konstaterade att SFC brutit mot principen om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR som kräver att personuppgifter behandlas på ett säkert sätt och skyddas mot obehörig åtkomst, förlust eller missbruk. Myndigheten bedömde att företaget inte hade vidtagit tillräckliga tekniska och organisatoriska åtgärder för att förhindra att tredje part fick tillgång till kundernas konton.
Den ursprungliga sanktionsavgiften uppgick till 2,5 miljoner euro, men sänktes till 1,5 miljoner euro eftersom SFC erkände överträdelsen och betalade omgående. AEPD ansåg att överträdelsen var allvarlig, eftersom dataintrånget exponerade en stor mängd personuppgifter och utsatte de registrerade för phishingförsök och risk för identitetsstöld. Myndigheten betonade särskilt att ID-handlingar är integritetskänsliga uppgifter eftersom de direkt identifierar den registrerade.