Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (AEPD) har bötfällt Vodafone España, S.A.U. med 50 000 euro för brott mot artikel 6.1 i dataskyddsförordningen (GDPR).
Av beslutet framgår att en registrerad fått meddelanden från Vodafone där det stod att det fanns en skuld som härrörde från tjänster som avtalats för hans räkning. Enligt den registrerade fanns inget avtal i hans namn för dessa tjänster och faktureringsadressen motsvarade adressen till ett hus där han tidigare bott med sin före detta partner.
AEPD:s granskning visar att Vodafone, som undersökt händelsen, konstaterat att det inte inträffat någon identitetsstöld utan att händelsen berodde på ett fel i företagets it-system, vilket lett till att den registrerades uppgifter visat sig som uppgifter tillhörande hans före detta partners konto. Efter att Vodafone fått vetskap om det markulerade företaget den skuld som var kopplad till den registrerade genom att utfärda en kreditnota för de belopp som fakturerats. Efter att skulden markulerats har Vodafone även kopplat bort den registrerades personuppgifter från den före detta partners kundkonto varpå företaget raderat den registrerades personuppgifter från Vodafones it-system.
AEPD konstaterar att dokumentationen i ärendet visat att Vodafone brutit mot artikel 6.1 GDPR, eftersom bolaget behandlat den registrerades personuppgifter utan att ha någon rättslig grund för att göra detta. Vidare framhöll AEPD att Vodafone, genom att erkänna misstaget, inte vidtagit nödvändiga försiktighetsåtgärder för att förhindra dessa typer av händelser.
Enligt AEPD är överträdelsen mycket allvarlig till sin natur och myndigheten ansåg att den påföljd som utdömdes borde baseras på bland annat följande försvårande omständigheter:
- Vodafones bristande aktsamhet, med tanke på att avtalet från den 22 januari 2020 innehållit den registrerades före detta partners namn, efternamn, adress och e-postadress, medan fakturorna utfärdats till den registrerade, samt
- kopplingen mellan Vodafones affärsverksamhet och behandlingen av kunders eller tredje mans personuppgifter.
AEPD ansåg emellertid att det faktum att Vodafone omedelbart markulerat tjänsterna och betalningen av det fakturerade beloppet var en förmildrande omständighet. Mot bakgrund av detta ansåg AEPD att det var lämpligt att ålägga Vodafone sanktionsavgifter på 50 000 euro för överträdelse av artikel 6.1 GDPR. Vodafone betalade dock ett reducerat bötesbelopp på 40 000 euro, efter att bolaget gjort en omedelbar frivillig betalning.