Grekland: Cosmote bötfälls med 6 000 000 euro för otillräckliga säkerhetsåtgärder

Den grekiska dataskyddsmyndigheten Hellenic Data Protection Authority (HDPA) har bötfällt Cosmote Mobile Telecommunications S.A. med 3 200 000 euro för överträdelse av artiklarna 5.1 (a), 5.2, 13, 14, 25.1, 26, 28, 32 och 35.7 i dataskyddsförordningen (GDPR).

Av beslutet framgår att Cosmote anmält en personuppgiftsincident till HDPA i enlighet med artikel 33 GDPR efter att en hackare kommit in i Cosmotes system och därefter läckt uppgifter om Cosmotes kunder. De stulna uppgifterna innehöll känslig information om Cosmotes kunder, till exempel ålder, kön och avtalsinformation. Nästan 10 miljoner kunder påverkades av incidenten.

Av denna anledning konstaterade HDPA att Cosmote underlåtit att implementera lämpliga tekniska och organisatoriska åtgärder för att säkerställa ett korrekt genomförande av processen för anonymisering av uppgifter. Dessutom har Cosmote inte heller genomfört en tillräcklig konsekvensbedömning avseende dataskydd eller informerat de registrerade på ett korrekt sätt om behandlingen av deras uppgifter. Slutligen konstaterade HDPA att Cosmote inte tydligt reglerat rollfördelningen vid behandlingen av personuppgifter med sitt dotterbolag OTE Group.

Vid beräkningen av böterna tog HDPA hänsyn till försvårande omständigheter som att överträdelserna pågått under mycket lång tid (6 år), det stora antalet registrerade samt det faktum att inga pseudonymiseringsåtgärder för uppgifterna implementerats under en lång tidsperiod.

Mer information

Myndighet: Hellenic Data Protection Authority (HDPA)

Land: Grekland

Lagrum: Art. 5 GDPR, art. 13 GDPR, art. 14 GDPR, art. 25 GDPR, art. 26 GDPR, art. 28 GDPR, art. 32 GDPR, art. 35 GDPR

Sanktionsavgift: 3 200 000 euro

Mottagare: Cosmote Mobile Telecommunications S.A.

Beslutsnummer: 4/2022

Beslutsdatum: 2022-01-27

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

06 OKT

Säkerhet för
icke-tekniker

Få en övergripande introduktion till säkerhet vid behandling av personuppgifter.

13 OKT

Privacy by Design
& Privacy by Default

Öka dina kunskaper om GDPR:s krav på inbyggt dataskydd och dataskydd som standard.

10 NOV

Artificiell intelligens & personuppgifter

Få en genomgång av de viktigaste reglerna för AI ur ett dataskyddsperspektiv.