Grekiska telekombolag får betala cirka 90 miljoner svenska kronor i sanktionsavgifter efter ett nytt beslut från den grekiska tillsynsmyndigheten, The Hellenic Data Protection Authority (HDPA)
HDPA har utfärdat sanktionsavgifter till dotterbolaget COSMOTE till ett belopp av 5 850 000 EUR och moderbolaget OTE Group till ett belopp av 3 250 000 EUR. Detta efter ett dataintrång hos COSMOTE som ledde till att känsliga uppgifter i form av samtalsdata läcktes. OTE Group är en av de största aktörerna inom telekom på den grekiska marknaden.
COSMOTE bötfälls för ett dataintrång och en olaglig databehandling
COSMOTE anmälde en incident i form av ett dataintrång till HDPA, men skulle enligt HDPA ha varit mycket mer inblandade i utredningen. I samband med det aktuella dataintrånget läcktes samtalsdata från kundsamtal mellan 2 september 2020 och 5 september 2020.
Samtalsdatan sparades på COSMOTE:s server och flyttades sedan från servern till en IP-adress som tillhörde en värdleverantör i Litauen. En användare med samma IP-adress i Litauen lyckades även få administrativ åtkomst till ett av OTE Groups system genom att ange lösenordet för ett administratörskonto. Hackern kunde därmed ta sig in i OTE Groups system där Big Data lagrades och ladda ner filen med samtalsdata.
COSMOTE:s rutiner för lagring och behandling av samtalsdata stred mot GDPR
HDPA undersökte i samband med incidenten hur COSMOTE lagrar och behandlar samtalsdata. De fann då att sådan data vanligtvis sparas i 90 dagar från tidpunkten då ett samtal äger rum i syfte att kunna lösa eventuella problem och fel som kan rapporteras i efterhand. Dessutom anonymiseras data och sparas sedan i 12 månader för att dra statiska slutsatser avseende en optimal utformning av telefonnätet.
HDPA fann att COSMOTE bröt mot bland annat Artikel 35(7) i GDPR eftersom innehållet i Data Protection Impact Assessment (DPIA) var otillräckligt, särskilt med hänsyn till hur nödvändig och proportionerlig behandlingen av personuppgifter var. HDPA kritiserade även hur anonymiseringsprocessen sköttes och ansåg att COSMOTE bröt mot Artikel 25(1) i GDPR genom deras underlåtenhet att implementera lämpliga säkerhetsåtgärder för att garantera ett korrekt genomförande av anonymiseringsprocessen. Dessutom ansåg HDPA att COSMOTE bröt mot artikel 5(1)(a), 5(2), 13, 14, 26 och 28 GDPR.
Moderbolaget OTE Group bötfälls för otillräckliga säkerhetsåtgärder som ledde till dataintrånget
HDPA konstaterat att även OTE Group borde ha varit mer inblandat i utredningen avseende dataläckan. Dessutom fann HDPA att både Cosmote och OTE Group är ansvariga för fastställande av lämpliga säkerhetsåtgärder och att OTE Group därmed bröt mot artikel 32(1) GDPR genom att inte kunna garantera dessa.
Läs mer:
