Storbritanniens dataskyddsmyndighet har utfärdat en straffsanktion på €350,000 till det brittiska försvarsdepartementet efter överträdelse av GDPR. Efter att talibanregimen tagit över makten i Afghanistan 2021 skickade det brittiska försvarsdepartementet ut information via mejl till individer som var berättigade till evakuering från landet. Departementet skickade dock ut informationen till hela mejllistan utan att göra en “blindkopia”. Det ledde till att varje individs mejladress läcktes till alla personer som tog del av informationen. Vissa av dem hade även profilbild kopplade till sin profil. Listan innebar även att när folk svarade på mejlet fick även övriga i listan ta del av svaret, varav en person uppgav sin nuvarande plats.
Dataskyddsmyndigheten menar att departementet genom sin behandling kränkte principerna om integritet och konfidentialitet i GDPR. Överträdelsen ledde till att hundratals personuppgifter blev läckta och på grund av den rådande situationen i Afghanistan menar myndigheten att det rörde sig om känsliga personuppgifter där liv var på spel vilket kräver känslig behandling. Myndigheten erkände dock att det var en brådskande situation samt att det rörde sig om ett offentligt organ, och sänkte därför sanktionsbeloppet från ursprungliga €1,000,000 till €350,000 för överträdelsen.