Švédská pojišťovna dostala vysokou pokutu za nedostatečné zabezpečení dat
Organizace, které nechrání citlivé informace svých zákazníků, čelí vážným následkům. Švédská pojišťovna Trygg-Hansa dostala vysokou pokutu za porušení GDPR kvůli závažnému porušení zabezpečení osobních údajů svých klientů. V příspěvku, který vyšel na odborném serveru www.gdpr.cz, se dozvíte více:
www.gdpr.cz/svedska-pojistovna-dostala-vysokou-pokutu-za-poruseni-gdpr-v-oblasti-zabezpeceni-dat
Únik osobních údajů v pojišťovně
V srpnu 2023 dal švédský úřad pro ochranu osobních údajů(1) pokutu ve výši 35 milionů švédských korun (což odpovídá více než 70 milionů korun českých) společnosti Trygg-Hansa. Tato pokuta byla reakcí na závažný bezpečnostní nedostatek, který v zásadě bez omezení zpřístupnil informace o zákaznících pojišťovny.
Incident, ke kterému došlo v listopadu 2023, byl původně spojen se společností Moderna Försäkringar, která se v dubnu 2022 spojila s Trygg-Hansa. Kontrola a následné řízení o pokutě už ale byly vedeny s nástupnickou společnosti Trygg-Hansa.
Rozsah úniku osobních údajů
Švédský úřad během svého vyšetřování zjistil alarmující rozsah tohoto úniku dat. Bezpečnostním nedostatkem, který vyústil v protiprávní zpřístupnění jejich osobních údajů, bylo postiženo přibližně 650 000 zákazníků společnosti Moderna Försäkringar. Osobní a citlivé informace o těchto klientech, včetně údajů o zdraví, finančních detailů, kontaktních údajů, čísel sociálního zabezpečení a držení pojištění, byly zpřístupněny neoprávněným příjemcům. Tento únik, resp. bezpečnostní nedostatek, trval více než dva roky, od října 2018 do února 2021, což pochopitelně zvýšilo riziko pro práva a svobody dotčených osob.
Výsledky kontroly bezpečnostního incidentu
Švédský úřad zjistil, že pojišťovna Trygg-Hansa nedodržela požadavky GDPR ohledně zabezpečení dat. Konkrétně byla činnost pojišťovny shledána v rozporu s článkem 5(1)(f) GDPR za nedostatečné zamezení nepovoleného přístupu nebo zpracování osobních údajů a článkem 32(1) GDPR za nepoužití vhodných technických a organizačních opatření na zajištění bezpečnosti údajů.
Reakce pojišťovny na únik dat
Reakce pojišťovny Trygg-Hansa na tento incident byla ve snaze uklidnit situaci rychlá. Poté, kdy byla informována švédským úřadem o úniku dat, tvrdila společnost, že Moderna Försäkringar, která byla jejím předchůdcem, bezpečnostní mezery okamžitě odstranila. Po interním vyšetření pojišťovna Trygg-Hansa doplnila, že závažná bezpečnostní chyba měla pravděpodobně přímý dopad pouze na 202 zákazníků.
Na první pohled by se mohlo zdát, že tato rychlá reakce a snaha o minimalizaci incidentu by měly vést ke snížení případných důsledků. Nicméně pojišťovna Trygg-Hansa i tak dostala poměrně citlivou pokutu kvůli úniku dat, který se odehrál pod jejím dohledem.
To vyvolává otázky ohledně odpovědnosti a řízení rizik v oblasti ochrany osobních údajů. Zřejmě nedostatečná bezpečnostní opatření umožnila neoprávněný přístup k citlivým osobním údajům velkého množství zákazníků. Přestože pojišťovna tvrdila, že incident zasáhl jen omezený počet osob, důležitým aspektem (a přitěžující skutečností) je fakt, že bezpečnostní selhání mohlo vést k potenciálně závažným porušením soukromí a bezpečnosti dat velkého počtu subjektů údajů.
Odpovědnost za GDPR v případě fúzí a akvizic
Pokuta uložená pojišťovně Trygg-Hansa slouží jako výrazné připomenutí důležitosti zabezpečení dat a celkové dodržování GDPR. Tento případ také zdůrazňuje vážné důsledky, které mohou vzniknout v důsledku úniků dat či nedostatků souvisejících se zpracováním a ochranou osobních údajů u dalších členů skupiny podniků nebo u „akvírovaných“ entit.
S porušeními GDPR vedoucími k vysokým pokutám a poškození pověsti musí firmy zavádět opatření pro ochranu dat, aby zajistily důvěru zákazníků a dodržovaly regulační požadavky. Kontrola zabezpečení dat a plnění dalších povinností plynoucích z GDPR i národní či sektorové regulace by proto měla být nedílnou součástí kontroly entity před jejím převzetím či vstupem investora, tzv. due diligence. Jinak hrozí, obdobně jako v popisovaném případě, že nástupnický podnik bude platit vysoké pokuty za chyby někoho jiného.
Michal Orviský
GDPR.cz
oPojištění.cz
informace ze světa pojištění a risk managementu
Zpravodajský portál, který poskytuje komplexní zpravodajství ze světa pojištění a risk managementu. Denně přináší aktuální zprávy o vývoji pojistného trhu, odborné analýzy, informace o nabízených pojistných produktech a rozhovory s významnými osobnostmi pojišťovnictví.
Více informací na: www.opojisteni.cz
Poslední zprávy z rubriky Pojištění:
Přečtěte si také:
Prezentace
26.04.2024 Historie a vývoj vodovodních baterií: Od...
25.04.2024 Pobřeží Egejského moře - ideální tip na všechny...
24.04.2024 Výsledková sezóna: Jak se daří výrobcům čipů a...
Okénko investora
Olívia Lacenová, Wonderinterest Trading Ltd.
Dlouho očekávaná událost ze světa kryptoměn. Přinese další halving bitcoinu nová maxima?
Štěpán Křeček, BHS
Petr Lajsek, Purple Trading
Ali Daylami, BITmarkets
Michal Brothánek, AVANT IS
Miroslav Novák, AKCENTA
Spotřebitelská inflace v eurozóně odeznívá, pro služby to však úplně neplatí
Jiří Cimpel, Cimpel & Partneři
Jakub Petruška, Zlaťáky.cz
Okénko finanční rady
Ondřej Vacek, Ušetřeno.cz
Nechcete přijít o peníze? 5 zásadních tipů, jak úspěšně využít pojištění storna
Petr Holub, MojeNebankovka
Zuzana Dubová, RekvalifikacniKurzy.cz
Financování vašeho vzdělávání: Přehled možností financování rekvalifikačních kurzů
Iva Grácová, Bezvafinance
Petr Holub, Zoxo Financial s.r.o.
Marek Pokorný, Portu
Tomáš Kadeřábek, Swiss Life Select
Lukáš Kaňok, Kalkulátor.cz