Data Protection Authority (HDPA) har utfärdat en sanktionsavgift på 20 000 euro mot NN Greek Single-Member Anonymous Life Insurance Company (NN Hellas) för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att den registrerade hade tecknat en försäkring hos NN Hellas, vilken omfattade tandvårdsplanen “Dental Care NN Hellas”, där tandvårdstjänsterna tillhandahölls av kliniken Mediadent. När tandvårdsprogrammet upphörde under 2023 begärde den registrerade, genom e-post, att få tillgång till inspelade telefonsamtal mellan honom och Dental Care NN Hellas callcenter i syfte att visa att pågående behandling ännu inte avslutats. NN Hellas tillhandahöll inte de begärda uppgifterna.
I sin kommunikation med HDPA uppgav NN Hellas att det inspelande callcentret drevs av Mediadent och att NN Hellas därmed inte hade tillgång till de efterfrågade uppgifterna. Bolaget hävdade vidare att Mediadent var självständig personuppgiftsansvarig för behandlingen av inspelade samtal, då syftet med denna behandling var att möjliggöra tillhandahållandet av vårdtjänster.
Efter granskning av avtalsvillkor och integritetspolicy mellan NN Hellas och Mediadent konstaterade HDPA att NN Hellas fastställt både ändamålen med och medlen för den aktuella personuppgiftsbehandlingen. Bolaget hade bland annat lämnat specifika instruktioner för inspelning, transkribering och överföring av samtal till sig, krävt månadsrapporter samt angett Mediadents callcenter som kontaktpunkt för frågor gällande tandvården. Det framgick även att NN Hellas hade förbehållit sig rätten till alla personuppgifter och ålagt Mediadent att överlämna dessa.
Mot denna bakgrund bedömde HDPA att NN Hellas agerade som personuppgiftsansvarig enligt artikel 4.7 GDPR för behandlingen av de inspelade telefonsamtalen och därmed var skyldig att uppfylla den registrerades rätt till tillgång enligt artikel 15.1 och 15.3 GDPR. HDPA konstaterade att denna skyldighet inte hade fullgjorts, och beslutade därför att ålägga NN Hellas en administrativ sanktionsavgift om 20 000 euro samt att inom tio dagar tillmötesgå den registrerades begäran.
Parallellt prövade HDPA även Mediadents ansvar. Myndigheten konstaterade att Mediadent antingen agerat som gemensamt personuppgiftsansvarig eller som personuppgiftsbiträde vid den aktuella behandlingen. Företaget hade emellertid inte samarbetat med HDPA under utredningen, vilket utgör ett brott mot artikel 31 GDPR. För detta ålades Mediadent en sanktionsavgift om 2 000 euro.