Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 56 000 euro mot Vodafone España S.A.U för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att den registrerade lämnat in ett klagomål mot Vodafone för att ha brutit mot den registrerades rätt till tillgång. Den registrerade begärde att Vodafone skulle tillhandahålla en kopia av dennes kommersiella telefonavtal, eftersom Vodafone enligt uppgift inte tillämpade den avtalade taxan. Efter flera misslyckade försök att få deras avtal skickade Vodafone ett e-postmeddelande som innehöll en annan kunds avtal samt en ljudinspelning av den kundens uppgifter.
AEPD betonade att Vodafone brutit mot principen om integritet och konfidentialitet genom att dela en annan persons kommersiella avtal med den registrerade, i strid med artikel 5.1 (f) GDPR. Enligt den bevisning som lades fram fick den registrerade tillgång till namn, id-nummer och telefonnummer för en okänd person utan något tillstånd att lämna ut deras uppgifter till tredje part. AEPD konstaterade därför en överträdelse av artikel 32 GDPR för att inte ha genomfört lämpliga tekniska och organisatoriska åtgärder för att förhindra en sådan incident.
AEPD har utfärdat en sanktionsavgift på 50 000 euro mot Vodafone för brott mot artikel 5.1 (f) GDPR och med 20 000 euro för brott mot artikel 32 GDPR, men sänktes till 56 000 euro då bolaget avstod från överklagande av sanktionen.