Egyelőre sok részlet nem tisztázott, de annyi bizonyos, hogy Svédország vezető biztosítási cége, a Folksam tévedésből rengeteg ügyféladatot osztott meg több informatikai nagyvállalattal. A problémára egy audit során jöttek rá.

Nem várt csomag

A Folksam az esetről tegnap számolt be nyilvánosan. Az ország lakásbiztosítási piacának nagyjából felét birtokló vállalat rendszeréből a tájékoztatás szerint nagyjából egymillió svéd személyes adata kerülhetett olyan techóriásokhoz, mint például a Facebook, a Google, a Microsoft és az Adobe. Az adatok között voltak többek között pénzügyi információk, társadalombiztosítási számok, sőt olyan dolgok is, mint hogy ki kötött terhességhez kapcsolódó biztosítást.

A cég képviselője szerint nagyon komolyan veszik a történteket. A problémát egy biztonsági ellenőrzéskor realizálták, és természetesen azonnal megszűntették az adatok továbbítását. Az ügyről értesítették a helyi adatvédelmi felügyeletet, illetve kapcsolatba léptek az érintett techvállalatokkal is, hogy haladéktalanul töröljék adatbázisukból a nem nekik szánt információkat.

A Folksam szerint nincs jele annak, hogy bármilyen harmadik félnél visszaéltek volna a történtekkel, azaz az adatokat nem használták fel "kétes módon". A cég szóvivője szerint ettől függetlenül az esetnek nem szabadott volna megtörténnie, és keményen dolgoznak azon, hogy a jövőben ilyen ne is történhessen.

Ezzel kapcsolatban persze lehet, hogy lesz egy-két szava a helyi hatóságnak is, ahonnan viszont egyelőre csak annyit közöltek, hogy vizsgálják az ügyet, de még nem született konkrét döntés a további teendőkről.

Az adatcsomagot jogtalanul, ám önhibájukon kívül megkapó techcégek részéről egyelőre nem történt hivatalos kommunikáció a történtekkel kapcsolatban.

Ismét lecsap a GDPR-balta?

A svéd biztosító esete nyilvánvalóan felveti az Európai Unióban érvényben lévő adatvédelmi szabályozás, a GDPR irányelveinek megsértését. Az Európai Bizottság nyáron kiadott jelentése szerint a négy éve hatályba lépett, de "élesben" csak két éve működő általános adatvédelmi rendelet elérte alapvető célját. Az EB szerint a tagállamok közti jogharmonizáció egyre erősebb, de még érvényesül bizonyos fokú töredezettség, amelynek alakulását figyelemmel kell kísérni. Az üzleti szereplők körében mindenesetre kialakult egy folyamatosan erősödő megfelelőségi kultúra, és a felhasználói adatok magas szintű védelemre már sokan tekintenek versenyelőnyként.

Ehhez képest a koronavírus-járvány idején is bőven akadt dolga az illetékes hatóságoknak, és több esetben is meglehetősen komoly összegű bírságot kellett kiszabni különböző cégekre, mert működésük nem felelt meg a GDPR előírásainak. Bár a tételek nagyságrendje nem éri el a tavaly kiszabott bírságok legnagyobbjainak szintjét, a havi esetek száma alapján idén az eddigi ügyek többszöröse került asztalra. 2018 második felében még csak 9 ügyet jegyeztek fel, tavaly már megközelítette a 150-et a büntetéssel végződő kivizsgálások száma, idén viszont már nyáron 200 közelében járt a számláló.