Beslut efter tillsyn enligt dataskyddsförordningen – Trygg-Hansa Försäkring filial
Bakgrund
Trygg-Hansa filial (tidigare Moderna Försäkringar) hade under perioden 2018–2021 dokument med försäkringsinformation nåbara via webbadresser utan kryptering eller autentisering. En kund, potentiell kund, eller annan person med en webbadress till ett dokument kunde genom att ändra ett fåtal siffror i webbadressen nå andra kunders dokument innehållandes personuppgifter av bland annat integritetskänslig och särskild skyddsvärd karaktär. Totalt fanns åtkomstmöjlighet till uppgifter om ungefär 650 000 kunder även om, enligt Trygg-Hansas loggar, enbart 202 personers uppgifter kan ha visats för någon obehörig.
Personuppgifterna som var åtkomliga för innehöll en stor mängd uppgifter såsom namn, personnummer, ekonomiska uppgifter, hälsouppgifter, skadefallsuppgifter, händelseförlopp, med mera. IMY poängterar att det inte är uteslutet att uppgifter om lagöverträdelser eller facklig tillhörighet fanns bland de registrerades uppgifter.
IMYS motivering
Trygg-Hansa har varit personuppgiftsansvarig för den aktuella behandlingen och borde ha säkerställt lämplig säkerhet utifrån riskerna med behandlingen. IMY konstaterade att denna behandling gällde ett stort antal personer samt ett stort antal personuppgifter om varje registrerad, varav flera av personuppgifterna varit av känslig eller särskilt känslig art.
Tiden för möjlig obehörig tillgång av dokumenten har varit lång (oktober 2018 till februari 2021), vidare tipsades Trygg-Hansa om bristen i november 2020, men det var inte förrän när IMY kontaktade bolaget i februari 2021 som Trygg-Hansa agerade.
Dokumenten med personuppgifter låg helt öppet på internet. Ingen verifiering av behörighet för att nå aktuella dokument med personuppgifter krävdes, vilket medför att den med webbadressen kunde få tillgång till dokumenten. De dokument som var åtkomliga online var heller inte skyddade genom kryptering, utan tillgängliga i klartext.
Trygg-Hansa hade inte genomfört en konsekvensbedömning rörande den aktuella behandlingen innan behandlingen påbörjades, även om bolaget anlitat två externa bolag för att göra penetrationstester av systemet. Vidare rörde denna typ av personuppgiftsbehandling Trygg-Hansas kärnverksamhet vilket ur IMY:s synvinkel innebar att bolaget borde haft god förmåga att säkerställa lämplig säkerhet. IMY bedömde därmed att bristerna varit av sådan grundläggande karaktär att de borde upptäckts och åtgärdats innan systemet infördes.
Trygg-Hansas behandling av personuppgifterna var således i strid med dataskyddsförordningens artikel 32.1 angående säkerhet i samband med behandlingen, samt att bristen i säkerheten var av sådant allvarligt slag att den även innebar en överträdelse av artikel 5.1.f angående den grundläggande principen om integritet och konfidentialitet.
Sanktionsavgift
IMY bedömde att det inte var en fråga om någon mindre allvarlig överträdelse, utan en överträdelse av medelhög nivå och att sanktionsavgift skulle påföras.
Oaktat Trygg-Hansas invändningar om organisationsstruktur där detta var en organisatoriskt fristående filial, och senare företagsförvärv i koncernen är det moderbolagets årsomsättning året innan tidpunkten för tillsynsbeslutet ska läggas till grund för beräkningen av maxbeloppet för den sanktionsavgift som kan tas ut enligt IMY. Koncernbegrppet ska enligt EU-domstolen utifrån ekonomisk enhet. Den senare proportionalitetsbedömningen är i stället lämpligare för att göra avvägningar kring inkomna invändningar enligt IMY.
Vid proportionalitetsbedömningen i fråga vägde IMY in att moderkoncernens årsomsättning höjts betydande sedan tidpunkten för överträdelsen i och med företagsförvärv och att överträdelsen enbart skett i den svenska filialen. Att enbart utgå från koncernens årsomsättning vid bestämmande av sanktionsavgiften skulle innebära en allt för hög avgift. En samlad bedömning gav en sanktionsavgift på 35 miljoner kronor.
Om ni har frågor kring er behandling av personuppgifter kan ni kontakta advokatfirman MORE Evander på info@amelegal.se eller via telefon på 08 20 06 10.