Grekland: Cosmote bötfälls med 6 000 000 euro för otillräckliga säkerhetsåtgärder

Den grekiska dataskyddsmyndigheten Hellenic Data Protection Authority (HDPA) har bötfällt Cosmote Mobile Telecommunications S.A. med 3 200 000 euro för överträdelse av artiklarna 5.1 (a), 5.2, 13, 14, 25.1, 26, 28, 32 och 35.7 i dataskyddsförordningen (GDPR).

Av beslutet framgår att Cosmote anmält en personuppgiftsincident till HDPA i enlighet med artikel 33 GDPR efter att en hackare kommit in i Cosmotes system och därefter läckt uppgifter om Cosmotes kunder. De stulna uppgifterna innehöll känslig information om Cosmotes kunder, till exempel ålder, kön och avtalsinformation. Nästan 10 miljoner kunder påverkades av incidenten.

Av denna anledning konstaterade HDPA att Cosmote underlåtit att implementera lämpliga tekniska och organisatoriska åtgärder för att säkerställa ett korrekt genomförande av processen för anonymisering av uppgifter. Dessutom har Cosmote inte heller genomfört en tillräcklig konsekvensbedömning avseende dataskydd eller informerat de registrerade på ett korrekt sätt om behandlingen av deras uppgifter. Slutligen konstaterade HDPA att Cosmote inte tydligt reglerat rollfördelningen vid behandlingen av personuppgifter med sitt dotterbolag OTE Group.

Vid beräkningen av böterna tog HDPA hänsyn till försvårande omständigheter som att överträdelserna pågått under mycket lång tid (6 år), det stora antalet registrerade samt det faktum att inga pseudonymiseringsåtgärder för uppgifterna implementerats under en lång tidsperiod.

Mer information

Myndighet: Hellenic Data Protection Authority (HDPA)

Land: Grekland

Lagrum: Art. 5 GDPR, art. 13 GDPR, art. 14 GDPR, art. 25 GDPR, art. 26 GDPR, art. 28 GDPR, art. 32 GDPR, art. 35 GDPR

Sanktionsavgift: 3 200 000 euro

Mottagare: Cosmote Mobile Telecommunications S.A.

Beslutsnummer: 4/2022

Beslutsdatum: 2022-01-27

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

03 OKT

Artificiell intelligens & personuppgifter

En genomgång av de viktigaste reglerna för artificiell intelligens ur ett dataskyddsperspektiv.

05 OKT

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.