Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 200 000 euro mot Vodafone España S.A.U. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att den registrerade lämnat in ett klagomål mot Vodafone España till AEPD. Den registrerade påstod att en tredje part, utan hans samtycke, begärt och fått en kopia av hans SIM-kort från Vodafone. Den tredje parten hade loggat in på den registrerades konto och begärt leverans av en kopia av ett SIM-kort till en adress som skilde sig från faktureringsadressen. Den tredje parten hade därför tillgång till den registrerades personuppgifter, inklusive hans bankkontoinformation.
Vodafone hävdade att den tredje parten bekräftade sin bedrägliga identitet genom att korrekt tillhandahålla inloggningsuppgifter. Vodafone hävdade att bolaget inte kan förväntas verifiera identiteten hos användare som anger giltiga inloggningsuppgifter. Vidare uppgav bolaget att den logistikleverantör som anlitades för leverans av sim-kortet kontrollerade den tredje partens identitet vid leveransen genom att be om ett id-kort. Den tredje parten måste ha varit i besittning av ett falskt id-kort och som personuppgiftsansvarig kan man inte förväntas förhindra identitetsstöld. Vodafone kunde dock inte styrka att den tredje parten skrivit under eller att det spelats in ett aktiveringssamtal som var nödvändigt för att använda sim-kortet.
AEPD ansåg att Vodafone underlåtit att vidta åtgärder för att förhindra att en tredje part utger sig för att vara en kund. Eftersom Vodafone hanterar personuppgifter i stor skala borde denne ha vidtagit åtgärder för att förhindra att kunder utger sig för att vara andra kunder. Vidare måste Vodafone kunna visa att den lagliga behandlingen av uppgifter enligt artikel 6.1 GDPR har följts.
AEPD konstaterade att Vodafone inte kunde bevisa att säkerhetspolicyn följts eftersom bolaget inte kunde tillhandahålla en inspelning av kontrollsamtalet eller tredje partens underskrift vid leveransen. AEPD drog därför slutsatsen att Vodafone inte kunde visa att bolaget behandlat den registrerades personuppgifter på ett lagligt sätt enligt artikel 6.1 GDPR.