Grekland: Cosmote bötfälls med 6 000 000 euro för otillräckliga säkerhetsåtgärder

Den grekiska dataskyddsmyndigheten Hellenic Data Protection Authority (HDPA) har bötfällt Cosmote Mobile Telecommunications S.A. med 3 200 000 euro för överträdelse av artiklarna 5.1 (a), 5.2, 13, 14, 25.1, 26, 28, 32 och 35.7 i dataskyddsförordningen (GDPR).

Av beslutet framgår att Cosmote anmält en personuppgiftsincident till HDPA i enlighet med artikel 33 GDPR efter att en hackare kommit in i Cosmotes system och därefter läckt uppgifter om Cosmotes kunder. De stulna uppgifterna innehöll känslig information om Cosmotes kunder, till exempel ålder, kön och avtalsinformation. Nästan 10 miljoner kunder påverkades av incidenten.

Av denna anledning konstaterade HDPA att Cosmote underlåtit att implementera lämpliga tekniska och organisatoriska åtgärder för att säkerställa ett korrekt genomförande av processen för anonymisering av uppgifter. Dessutom har Cosmote inte heller genomfört en tillräcklig konsekvensbedömning avseende dataskydd eller informerat de registrerade på ett korrekt sätt om behandlingen av deras uppgifter. Slutligen konstaterade HDPA att Cosmote inte tydligt reglerat rollfördelningen vid behandlingen av personuppgifter med sitt dotterbolag OTE Group.

Vid beräkningen av böterna tog HDPA hänsyn till försvårande omständigheter som att överträdelserna pågått under mycket lång tid (6 år), det stora antalet registrerade samt det faktum att inga pseudonymiseringsåtgärder för uppgifterna implementerats under en lång tidsperiod.

Mer information

Myndighet: Hellenic Data Protection Authority (HDPA)

Land: Grekland

Lagrum: Art. 5 GDPR, art. 13 GDPR, art. 14 GDPR, art. 25 GDPR, art. 26 GDPR, art. 28 GDPR, art. 32 GDPR, art. 35 GDPR

Sanktionsavgift: 3 200 000 euro

Mottagare: Cosmote Mobile Telecommunications S.A.

Beslutsnummer: 4/2022

Beslutsdatum: 2022-01-27

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

30 MAR

Introduktion till AI-förordningen

Få en genomgång av de viktigaste reglerna i nya AI-förordningen och hur AI-system kan användas på ett lagenligt sätt.

20 APR

Privacy by Design & Privacy by Default

En genomgång av de viktigaste åtgärderna för inbyggt dataskydd och dataskydd som standard.

27 APR

Informationssäkerhet & personuppgifter

Få en övergripande introduktion till informationssäkerhet vid behandling av personuppgifter.