Agencia Espanola Proteccion Datos (AEPD) har bötfällt försäkringsbolaget DKV Seguros y reaseguros SA med 220 000 euro för överträdelser av dataskyddsförordningen (GDPR) efter att upprepade gånger ha skickat hälsouppgifter till en obehörig tredje part.
Av beslutet framgår att en kvinna, som agerade som tredje part, tagit emot 51 e-postmeddelanden innehållandes hälsouppgifter från DKV Seguros. Dokumentationen innehöll bland annat uppgifter om den försäkrade (namn, efternamn och försäkringsnummer) samt läkarintyg och tillhörde andra registrerade som kvinnan inte hade någon koppling till. Kvinnan informerade DKV Seguros varje gång hon fick ett e-postmeddelande, men försäkringsbolaget svarade genom att omdirigera hennes klagomål till andra kontor inom företaget.
AEPD konstaterade initialt att om en personuppgiftsansvarig inte säkerställer lämplig säkerhet för den registrerades personuppgifter genom att skicka hälsouppgifter till tredje part, innebär detta en överträdelse av principen om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR. Vidare är den personuppgiftsansvarige enligt AEPD ansvarig för att genomföra lämpliga säkerhetsåtgärder enligt artikel 32.1 (b) GDPR, för att garantera att personuppgifterna inte ändras och för att utvärdera de möjliga riskerna i samband med behandlingen.
AEPD påpekade att den typ av uppgifter som exponerats i detta ärende föll inom ramen för artikel 9.1 GDPR. Med detta i åtanke ansåg AEPD att det skett en överträdelse av artikel 32 GDPR eftersom bristen på säkerhetsåtgärder utgjorde ett strukturellt problem hos DKV Seguros. AEPD konstaterade vidare att det skett en överträdelse av artikel 33 GDPR då DKV Seguros inte anmält personuppgiftsincidenten myndigheten senast 72 timmar efter det att företaget fått kännedom om den.
Som försvårande omständigheter beaktade AEPD bland annat överträdelsens varaktighet enligt artikel 83.2 (a) GDPR och kategorierna av uppgifter som berörts enligt artikel 83.2 (g) GDPR.
Mot denna bakgrund beslutade AEPD att bötfälla DKV Seguros med 220 000 euro, ett belopp som sänktes till 132 000 euro på grund av omedelbar betalning och erkännande av skuld.