Den italienska dataskyddsmyndigheten har utfärdat en sanktionsavgift på €30,000 mot ett nationellt företag för flera överträdelser av GDPR. Ärendet inleddes efter en klagomål från en person som mottagit oönskade marknadsföringsmejl och inte fått svar på sina begäran om tillgång till sina uppgifter. Företaget hävdade att begäran markerats som skräppost och att marknadsföringsmejlen skickats på grund av tidigare samtycke, men att uppgifterna nu raderats. Trots detta mottog personen ytterligare mejl där denne ombads bekräfta sin e-postadress för ett nyhetsbrev, vilket företaget skyllde på att en tredje part registrerat adressen. Vidare mottog personen 39 identiska mejl om att bekräfta sitt telefonnummer, vilket föranledde en granskning från myndigheten. Det visade sig att obehöriga hade fått tillgång till företagets IT-system och använt dem för att skicka dessa mejl.
Granskningen avslöjade att företaget använde ett föråldrat och sårbart Content Management System (CMS), vilket utgjorde en hög risk för dataintrång. Företaget hade inte heller informerat dataskyddsmyndigheten om personuppgiftsincidenten som krävs enligt GDPR. Myndigheten konstaterade att företagets tekniska och organisatoriska åtgärder var otillräckliga, och att det saknades rättslig grund för behandlingen av e-postadresser och telefonnummer för marknadsföringsändamål. Företaget misslyckades också med att ge klaganden information om källan till dennes personuppgifter och att agera på dennes begäran om tillgång till uppgifterna. På dessa grunder utfärdade dataskyddsmyndigheten en sanktionsavgift på €30,000 och krävde att företaget implementerar lämpliga åtgärder för att förbättra säkerheten i samband med sitt CMS.
