Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 132 000 euro mot försäkringsbolaget DKV Seguros y reaseguros SA för överträdelser av dataskyddsförordningen (GDPR) efter att upprepade gånger ha skickat hälsouppgifter till en obehörig tredje part.
Av beslutet framgår att en kvinna, som agerade som tredje part, tagit emot 51 e-postmeddelanden innehållandes hälsouppgifter från DKV Seguros. Dokumentationen innehöll bland annat uppgifter om den försäkrade (namn, efternamn och försäkringsnummer) samt läkarintyg och tillhörde andra registrerade som kvinnan inte hade någon koppling till. Kvinnan informerade DKV Seguros varje gång hon fick ett e-postmeddelande, men försäkringsbolaget svarade genom att omdirigera hennes klagomål till andra kontor inom företaget.
AEPD konstaterade initialt att om en personuppgiftsansvarig inte säkerställer lämplig säkerhet för den registrerades personuppgifter genom att skicka hälsouppgifter till tredje part, innebär detta en överträdelse av principen om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR. Vidare är den personuppgiftsansvarige enligt AEPD ansvarig för att genomföra lämpliga säkerhetsåtgärder enligt artikel 32.1 (b) GDPR, för att garantera att personuppgifterna inte ändras och för att utvärdera de möjliga riskerna i samband med behandlingen.
AEPD påpekade att den typ av uppgifter som exponerats i detta ärende föll inom ramen för artikel 9.1 GDPR. Med detta i åtanke ansåg AEPD att det skett en överträdelse av artikel 32 GDPR eftersom bristen på säkerhetsåtgärder utgjorde ett strukturellt problem hos DKV Seguros. AEPD konstaterade vidare att det skett en överträdelse av artikel 33 GDPR då DKV Seguros inte anmält personuppgiftsincidenten myndigheten senast 72 timmar efter det att företaget fått kännedom om den.
Som försvårande omständigheter beaktade AEPD bland annat överträdelsens varaktighet enligt artikel 83.2 (a) GDPR och kategorierna av uppgifter som berörts enligt artikel 83.2 (g) GDPR.
Sanktionsavgiften uppgick till 220 000 euro, men sänktes till 132 000 euro efter att DKV Seguros gjort en omgående betalning och erkänt sitt ansvar för överträdelsen.
TechLaw bistår verksamheter i frågor som rör konfidentialitet, skydd av personuppgifter och dataskydd. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor är ni välkomna att kontakta Carina Berg, partner och jurist specialiserad inom dataskydd och affärsjuridik i teknikintensiva verksamheter.
Källa: AEPD.