Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 72 000 euro mot Shanghai Moonton Technology Ca LTD för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att AEPD reagerat på en sent inkommen anmälan om en personuppgiftsincident hos spelutvecklaren Shanghai Moonton Technology. Personuppgifter hade stulits från Shanghai Moonton Technologys webbplats och publicerats på en tredjepartswebbplats. Polisen och myndigheterna informerades om incidenten först efter en fördröjning, och de drabbade hade ännu inte informerats vid tidpunkten för anmälan.
AEPD:s utredning visade att de stulna personuppgifterna inte säkrats på ett tillfredsställande sätt. AEPD konstaterade att Shanghai Moonton Technology underlåtit att genomföra lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna, vilket innebar en överträdelse av principen om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR och kravet på lämpliga säkerhetsåtgärder enligt artikel 32 GDPR.
AEPD ansåg också att Shanghai Moonton Technology agerat i strid med principen om uppgiftsminimering enligt artikel 5.1 (c) GDPR, och att företaget inte anmält händelsen i enlighet med artikel 33 GDPR.
Sanktionsavgiften uppgick ursprungligen till 90 000 euro, men sänktes till 72 000 euro efter att Shanghai Moonton Technology gjort en omgående betalning och erkänt sitt ansvar för överträdelsen.