Švédská pojišťovna dostala vysokou pokutu za nedostatečné zabezpečení dat
Organizace, které nechrání citlivé informace svých zákazníků, čelí vážným následkům. Švédská pojišťovna Trygg-Hansa dostala vysokou pokutu za porušení GDPR kvůli závažnému porušení zabezpečení osobních údajů svých klientů. V příspěvku, který vyšel na odborném serveru www.gdpr.cz, se dozvíte více:
www.gdpr.cz/svedska-pojistovna-dostala-vysokou-pokutu-za-poruseni-gdpr-v-oblasti-zabezpeceni-dat
Únik osobních údajů v pojišťovně
V srpnu 2023 dal švédský úřad pro ochranu osobních údajů(1) pokutu ve výši 35 milionů švédských korun (což odpovídá více než 70 milionů korun českých) společnosti Trygg-Hansa. Tato pokuta byla reakcí na závažný bezpečnostní nedostatek, který v zásadě bez omezení zpřístupnil informace o zákaznících pojišťovny.
Incident, ke kterému došlo v listopadu 2023, byl původně spojen se společností Moderna Försäkringar, která se v dubnu 2022 spojila s Trygg-Hansa. Kontrola a následné řízení o pokutě už ale byly vedeny s nástupnickou společnosti Trygg-Hansa.
Rozsah úniku osobních údajů
Švédský úřad během svého vyšetřování zjistil alarmující rozsah tohoto úniku dat. Bezpečnostním nedostatkem, který vyústil v protiprávní zpřístupnění jejich osobních údajů, bylo postiženo přibližně 650 000 zákazníků společnosti Moderna Försäkringar. Osobní a citlivé informace o těchto klientech, včetně údajů o zdraví, finančních detailů, kontaktních údajů, čísel sociálního zabezpečení a držení pojištění, byly zpřístupněny neoprávněným příjemcům. Tento únik, resp. bezpečnostní nedostatek, trval více než dva roky, od října 2018 do února 2021, což pochopitelně zvýšilo riziko pro práva a svobody dotčených osob.
Výsledky kontroly bezpečnostního incidentu
Švédský úřad zjistil, že pojišťovna Trygg-Hansa nedodržela požadavky GDPR ohledně zabezpečení dat. Konkrétně byla činnost pojišťovny shledána v rozporu s článkem 5(1)(f) GDPR za nedostatečné zamezení nepovoleného přístupu nebo zpracování osobních údajů a článkem 32(1) GDPR za nepoužití vhodných technických a organizačních opatření na zajištění bezpečnosti údajů.
Reakce pojišťovny na únik dat
Reakce pojišťovny Trygg-Hansa na tento incident byla ve snaze uklidnit situaci rychlá. Poté, kdy byla informována švédským úřadem o úniku dat, tvrdila společnost, že Moderna Försäkringar, která byla jejím předchůdcem, bezpečnostní mezery okamžitě odstranila. Po interním vyšetření pojišťovna Trygg-Hansa doplnila, že závažná bezpečnostní chyba měla pravděpodobně přímý dopad pouze na 202 zákazníků.
Na první pohled by se mohlo zdát, že tato rychlá reakce a snaha o minimalizaci incidentu by měly vést ke snížení případných důsledků. Nicméně pojišťovna Trygg-Hansa i tak dostala poměrně citlivou pokutu kvůli úniku dat, který se odehrál pod jejím dohledem.
To vyvolává otázky ohledně odpovědnosti a řízení rizik v oblasti ochrany osobních údajů. Zřejmě nedostatečná bezpečnostní opatření umožnila neoprávněný přístup k citlivým osobním údajům velkého množství zákazníků. Přestože pojišťovna tvrdila, že incident zasáhl jen omezený počet osob, důležitým aspektem (a přitěžující skutečností) je fakt, že bezpečnostní selhání mohlo vést k potenciálně závažným porušením soukromí a bezpečnosti dat velkého počtu subjektů údajů.
Odpovědnost za GDPR v případě fúzí a akvizic
Pokuta uložená pojišťovně Trygg-Hansa slouží jako výrazné připomenutí důležitosti zabezpečení dat a celkové dodržování GDPR. Tento případ také zdůrazňuje vážné důsledky, které mohou vzniknout v důsledku úniků dat či nedostatků souvisejících se zpracováním a ochranou osobních údajů u dalších členů skupiny podniků nebo u „akvírovaných“ entit.
S porušeními GDPR vedoucími k vysokým pokutám a poškození pověsti musí firmy zavádět opatření pro ochranu dat, aby zajistily důvěru zákazníků a dodržovaly regulační požadavky. Kontrola zabezpečení dat a plnění dalších povinností plynoucích z GDPR i národní či sektorové regulace by proto měla být nedílnou součástí kontroly entity před jejím převzetím či vstupem investora, tzv. due diligence. Jinak hrozí, obdobně jako v popisovaném případě, že nástupnický podnik bude platit vysoké pokuty za chyby někoho jiného.
Michal Orviský
GDPR.cz
oPojištění.cz
informace ze světa pojištění a risk managementu
Zpravodajský portál, který poskytuje komplexní zpravodajství ze světa pojištění a risk managementu. Denně přináší aktuální zprávy o vývoji pojistného trhu, odborné analýzy, informace o nabízených pojistných produktech a rozhovory s významnými osobnostmi pojišťovnictví.
Více informací na: www.opojisteni.cz
Poslední zprávy z rubriky Pojištění:
Přečtěte si také:
Prezentace
29.04.2024 Daňové přiznání lidem provětralo peněženky....
26.04.2024 Historie a vývoj vodovodních baterií: Od...
25.04.2024 Pobřeží Egejského moře - ideální tip na všechny...
Okénko investora
Olívia Lacenová, Wonderinterest Trading Ltd.
Štěpán Křeček, BHS
Petr Lajsek, Purple Trading
Ali Daylami, BITmarkets
Michal Brothánek, AVANT IS
Miroslav Novák, AKCENTA
Spotřebitelská inflace v eurozóně odeznívá, pro služby to však úplně neplatí
Jiří Cimpel, Cimpel & Partneři
Jakub Petruška, Zlaťáky.cz
Okénko finanční rady
Lukáš Kaňok, Kalkulátor.cz
Distribuční sazba nebo poplatek za jistič. Co všechno ovlivňuje cenu elektřiny?
Petr Holub, MojeNebankovka
Ondřej Vacek, Ušetřeno.cz
Nechcete přijít o peníze? 5 zásadních tipů, jak úspěšně využít pojištění storna
Zuzana Dubová, RekvalifikacniKurzy.cz
Financování vašeho vzdělávání: Přehled možností financování rekvalifikačních kurzů
Iva Grácová, Bezvafinance
Petr Holub, Zoxo Financial s.r.o.
Marek Pokorný, Portu
Tomáš Kadeřábek, Swiss Life Select