Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 1,3 miljoner euro mot Telefónica de España SAU för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Telefónica de España rapporterat en personuppgiftsincident till AEPD. I anmälan uppgav Telefónica de España att de utsatts för en cyberattack som gjort det möjligt för obehöriga tredje parter att få tillgång till 1 021 253 personers kunddata via en anställds konto.
Under sin utredning konstaterade AEPD att Telefónica de España underlåtit att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter som skulle ha kunnat förhindra en sådan incident. Till exempel hade Telefónica de España endast krävt ett användarnamn och lösenord för att logga in i företagets system. Enligt AEPD utgjorde detta en överträdelse av principen om uppgiftsminimering enligt 5.1 (c) GDPR och principen om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR, samt kravet på lämpliga säkerhetsåtgärder enligt artikel 32 GDPR.
Sanktionsavgiften mot Telefónica uppgick totalt till 1,3 miljoner euro, 500 000 euro för överträdelsen av artikel 5.1 (c) och (f) GDPR och 800 000 euro för överträdelse av artikel 32 GDPR.