Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 40 000 euro mot Vodafone España, S.A.U. för brott mot bland annat artiklarna 5.1 (f) och 32 i dataskyddsförordningen (GDPR).
Av beslutet framgår att en kvinna lämnat in ett klagomål mot Vodafone España då bolaget skickat telefonräkningar som tillhörde en tredje part till kvinnans e-postadress. Efter att ha uppmärksammat Vodafone España på detta fick hon inget svar. Därefter kontaktade hon Vodafone España per telefon, men ingen av de anställda kunde hjälpa henne med denna fråga.
AEPD drog slutsatsen att Vodafone España hade brutit mot principen om integritet och konfidentialitet i artikel 5.1 (f) GDPR. Vodafone España hade vidare underlåtit att genomföra tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken för de registrerade, varför bolaget även brutit mot artikel 32 GDPR.
Sanktionsavgiften uppgick ursprungligen till 50 000 euro, men sänktes till 40 000 euro efter att Vodafone España gjort en omgående betalning och erkänt sitt ansvar för överträdelsen.