保险公司被瑞典保险公司处以巨额罚款

fabiha01

欧洲监管机构 (SA) 最近向负责私人客户数据的控制者发出了另一项巨额罚款，原因是缺乏足够的个人数据安全措施。

在本案中，瑞典监管局（IMY）于 2023 年 8 月 28 日发布决定，对 Tryg Forsikring A/S 的分支机构 Trygg-Hansa 保险公司处以 3500 万瑞典克朗（约合 290 万欧元）的罚款。

此次罚款是由于发现安全漏洞，可能导致 650,000 名数据主体的个人数据（包括特殊类别的数据）泄露而实施的。

IMY 决定的背景
在收到数据主体关于潜在数据泄露的通知后，IMY 开始对 Trygg-Hansa 进行调查，特别是对该集团自 2022 年 4 月以来收购的实体进行调查，并且确实存在数据泄露。数据主体在收到的控制者发送的一封电子邮件中注意到了这一违规行为，该邮件中包含公司发送的保险配额。该电子邮件提供了一个链接，其中显示了包含保险信息在内的文件。通过访问该链接，数据主体可以注意到，只需替换一些数字（网络链接中的数字），就可以轻松地使用相同的链接访问其他客户的数据。令人惊讶的是，可以毫不费力地访问客户的保险文件，当然这种方式并不安全。

此外，可访问的文档包括特殊类别的数据，例如健康数据，这些数据允许未经授权的访问者识别客户的健康问题，西班牙商业传真列表 并以此方式获取有关个人生活和私人状况的信息。除了常规的个人数据类别和特殊类别外，还可能显示有关社会保障和保险状况的其他信息。

调查还发现，这些数据可能在 2018 年 10 月至 2021 年 2 月的两年多时间内被泄露。

瑞典国家税务局在对案件进行调查和评估后得出结论，认为该公司违反了个人数据完整性和保密性原则（GDPR 第 5.1（f）条）以及确保对个人数据提供足够保护的义务（GDPR 第 32 条），因此决定处以罚款。

结论
从所述案例中，我们可以得出与控制者处理个人数据的合规性相关的两个主要教训：

在收购或合并新实体之前，始终在尽职调查实践中考虑数据保护合规性：违规行为确实发生在 Tryg Forsikring 集团收购所涉及实体之前。根据IMY的意见，通过审查现有的安全措施就可以发现这一点。
确保始终审查和测试所采用的安全措施，以在整个业务过程中和不同的处理方式中为个人数据提供有效且有效的保护系统。