Zagraniczne media donoszą o poważnym incydencie w zakresie ochrony danych osobowych w szwedzkiej firmie ubezpieczeniowej – Folksam. Według nich, spółka przypadkowo udostępniła dane osobowe około miliona swoich klientów na rzecz największych światowych potentatów technologicznych, w tym m.in. Facebook, Google oraz Microsoft. Naruszenie ochrony danych zostało już zgłoszone szwedzkiemu organowi ds. ochrony danych osobowych (Datainspektionen). Dotychczas regulator nie odniósł się jeszcze do tej sprawy.
Folksam jest jedną z największych firm ubezpieczeniowych w Szwecji. Szacuje się, że ubezpiecza ona w Szwecji aż połowę gospodarstw domowych i co drugiego Szweda. Według serwisu Bloomberg, spółka nadzoruje aktywa ubezpieczeniowe o wartości aż 50 000 000 dolarów (niemal 189 000 000 zł).
Ubezpieczyciel potwierdza
Spółka potwierdziła, że doszło do naruszenia ochrony danych osobowych. Poinformowała, że dane osobowe jej klientów zostały udostępnione gigantom technologicznym, takim jak Facebook, Google, Microsoft i LinkedIn. Udostępnione dane osobowe obejmowały m.in. numery ubezpieczenia społecznego oraz informacje o tym, którzy klienci zdecydowali się na wykupienie określonych typów ubezpieczenia. Pierwotnym celem Folksam w kontekście tego zdarzenia miało być między innymi uzyskanie analizy, jakich informacji szukali zalogowani klienci oraz inne osoby odwiedzające stronę internetową ubezpieczyciela (www.folksam.se). Wyniki analizy udostępnionych danych osobowych były następnie wykorzystywane przez firmy technologiczne w celu dostarczania klientom niestandardowych ofert marketingowych za pośrednictwem kanałów komunikacji ubezpieczyciela. W wyniku tych działań, klienci spółki otrzymywali spersonalizowane oferty.
Folksam zapewnił, że bardzo poważnie traktuje stwierdzone naruszenie ochrony danych. Spółka poinformowała, że natychmiast po wykryciu nieprawidłowości podjęła stosowne kroki w celu zaprzestania dalszego udostępniania danych osobowych klientów firmom technologicznym i zażądała ich usunięcia. Nie ma dowodów – w ocenie spółki – że udostępnione dane osobowe zostały niewłaściwie wykorzystane przez osoby trzecie.
Konsekwencje mogą być dotkliwe
Konsekwencje tego zdarzenia mogą być bardzo poważne, zarówno dla klientów spółki, jak i dla niej samej. Warto zauważyć, że obywatele Szwecji używają swoich numerów ubezpieczenia społecznego w wielu sprawach życia codziennego, w tym także do załatwiania spraw w bankach. Udostępnienie tych danych osobowych może więc rodzić duże ryzyko naruszenia praw i wolności osób, których te dane dotyczą.
Z drugiej strony, zgodnie z RODO, szwedzki organ nadzorczy może nałożyć karę w wysokości do 20 000 000 euro – a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Z uwagi na skalę stwierdzonego naruszenia, jego charakter oraz fakt, że sprawa dotyczy danych osobowych, które powinny być szczególnie chronione przez spółkę (numery ubezpieczenia społecznego), wydaje się, że szwedzki regulator może zdecydować się na ukaranie Folksam. W takim przypadku – biorąc pod uwagę okoliczności sprawy – możemy spodziewać się kary w górnej granicy.