Švédská pojišťovna dostala vysokou pokutu za nedostatečné zabezpečení dat

Organizace, které nechrání citlivé informace svých zákazníků, čelí vážným následkům. Švédská pojišťovna Trygg-Hansa dostala vysokou pokutu za porušení GDPR kvůli závažnému porušení zabezpečení osobních údajů svých klientů. V příspěvku, který vyšel na odborném serveru www.gdpr.cz, se dozvíte více:
www.gdpr.cz/svedska-pojistovna-dostala-vysokou-pokutu-za-poruseni-gdpr-v-oblasti-zabezpeceni-dat

Únik osobních údajů v pojišťovně

V srpnu 2023 dal švédský úřad pro ochranu osobních údajů(1) pokutu ve výši 35 milionů švédských korun (což odpovídá více než 70 milionů korun českých) společnosti Trygg-Hansa. Tato pokuta byla reakcí na závažný bezpečnostní nedostatek, který v zásadě bez omezení zpřístupnil informace o zákaznících pojišťovny.

Incident, ke kterému došlo v listopadu 2023, byl původně spojen se společností Moderna Försäkringar, která se v dubnu 2022 spojila s Trygg-Hansa. Kontrola a následné řízení o pokutě už ale byly vedeny s nástupnickou společnosti Trygg-Hansa.

Rozsah úniku osobních údajů

Švédský úřad během svého vyšetřování zjistil alarmující rozsah tohoto úniku dat. Bezpečnostním nedostatkem, který vyústil v protiprávní zpřístupnění jejich osobních údajů, bylo postiženo přibližně 650 000 zákazníků společnosti Moderna Försäkringar. Osobní a citlivé informace o těchto klientech, včetně údajů o zdraví, finančních detailů, kontaktních údajů, čísel sociálního zabezpečení a držení pojištění, byly zpřístupněny neoprávněným příjemcům. Tento únik, resp. bezpečnostní nedostatek, trval více než dva roky, od října 2018 do února 2021, což pochopitelně zvýšilo riziko pro práva a svobody dotčených osob.

Výsledky kontroly bezpečnostního incidentu

Švédský úřad zjistil, že pojišťovna Trygg-Hansa nedodržela požadavky GDPR ohledně zabezpečení dat. Konkrétně byla činnost pojišťovny shledána v rozporu s článkem 5(1)(f) GDPR za nedostatečné zamezení nepovoleného přístupu nebo zpracování osobních údajů a článkem 32(1) GDPR za nepoužití vhodných technických a organizačních opatření na zajištění bezpečnosti údajů.

Reakce pojišťovny na únik dat

Reakce pojišťovny Trygg-Hansa na tento incident byla ve snaze uklidnit situaci rychlá. Poté, kdy byla informována švédským úřadem o úniku dat, tvrdila společnost, že Moderna Försäkringar, která byla jejím předchůdcem, bezpečnostní mezery okamžitě odstranila. Po interním vyšetření pojišťovna Trygg-Hansa doplnila, že závažná bezpečnostní chyba měla pravděpodobně přímý dopad pouze na 202 zákazníků.

Na první pohled by se mohlo zdát, že tato rychlá reakce a snaha o minimalizaci incidentu by měly vést ke snížení případných důsledků. Nicméně pojišťovna Trygg-Hansa i tak dostala poměrně citlivou pokutu kvůli úniku dat, který se odehrál pod jejím dohledem.

To vyvolává otázky ohledně odpovědnosti a řízení rizik v oblasti ochrany osobních údajů. Zřejmě nedostatečná bezpečnostní opatření umožnila neoprávněný přístup k citlivým osobním údajům velkého množství zákazníků. Přestože pojišťovna tvrdila, že incident zasáhl jen omezený počet osob, důležitým aspektem (a přitěžující skutečností) je fakt, že bezpečnostní selhání mohlo vést k potenciálně závažným porušením soukromí a bezpečnosti dat velkého počtu subjektů údajů.

Odpovědnost za GDPR v případě fúzí a akvizic

Pokuta uložená pojišťovně Trygg-Hansa slouží jako výrazné připomenutí důležitosti zabezpečení dat a celkové dodržování GDPR. Tento případ také zdůrazňuje vážné důsledky, které mohou vzniknout v důsledku úniků dat či nedostatků souvisejících se zpracováním a ochranou osobních údajů u dalších členů skupiny podniků nebo u „akvírovaných“ entit.

S porušeními GDPR vedoucími k vysokým pokutám a poškození pověsti musí firmy zavádět opatření pro ochranu dat, aby zajistily důvěru zákazníků a dodržovaly regulační požadavky. Kontrola zabezpečení dat a plnění dalších povinností plynoucích z GDPR i národní či sektorové regulace by proto měla být nedílnou součástí kontroly entity před jejím převzetím či vstupem investora, tzv. due diligence. Jinak hrozí, obdobně jako v popisovaném případě, že nástupnický podnik bude platit vysoké pokuty za chyby někoho jiného.

Michal Orviský
GDPR.cz