Πρόστιμο ύψους 9.550.000 ευρώ, από τα μεγαλύτερα που έχουν επιβληθεί στην Ευρώπη μετά την έναρξη ισχύος του κανονισμού για τα προσωπικά δεδομένα, επέβαλε στη Γερμανία ο Ομοσπονδιακός Επίτροπος για την Προστασία των Δεδομένων και την Ελευθερία της Πληροφορίας (BfDI).
Ο παραβάτης ήταν ο πάροχος τηλεπικοινωνιακών υπηρεσιών 1 & 1 Telecom GmbH.
Όπως διαπιστώθηκε, η συγκεκριμένη εταιρεία δεν είχε λάβει επαρκή τεχνικά και οργανωτικά μέτρα για να εμποδίσει τα μη εξουσιοδοτημένα άτομα να έχουν τη δυνατότητα να λαμβάνουν πληροφορίες σχετικά με τα δεδομένα από την τηλεφωνική εξυπηρέτηση πελατών.
Οι παραβάσεις
Ειδικότερα, η 1 & 1 Telecom GmbH, κατά τον BfDI, μπορούσε να λαμβάνει εκτεταμένες πληροφορίες σχετικά με άλλα προσωπικά δεδομένα πελατών από την υπηρεσία εξυπηρέτησης πελατών της εταιρείας απλώς καθορίζοντας το όνομα και την ημερομηνία γέννησης ενός πελάτη. Ο BfDI θεωρεί ότι αυτή η διαδικασία επαλήθευσης ταυτότητας παραβιάζει το άρθρο 32 του GDPR, σύμφωνα με το οποίο η εταιρεία είναι υποχρεωμένη να λαμβάνει τα κατάλληλα τεχνικά και οργανωτικά μέτρα για να προστατεύει συστηματικά την επεξεργασία δεδομένων προσωπικού χαρακτήρα.
Αφού ο BfDI επέκρινε την ανεπαρκή προστασία δεδομένων στην εν λόγω περίπτωση, η 1 & 1 Telecom GmbH έδειξε ότι είναι συνεργάσιμη και η διαδικασία ελέγχου ταυτότητας εξασφαλίστηκε αρχικά με την αναζήτηση συμπληρωματικών πληροφοριών. Σε ένα περαιτέρω βήμα, η εταιρεία εισήγαγε μια νέα διαδικασία πιστοποίησης που έχει βελτιωθεί σημαντικά όσον αφορά την τεχνολογία και την προστασία των δεδομένων, σε συνεννόηση με τον BfDI.
Παρά τα μέτρα αυτά, κρίθηκε απαραίτητο να επιβληθεί πρόστιμο καθώς, η παραβίαση δεν περιοριζόταν μόνο σε μικρό αριθμό πελατών, αλλά συνιστούσε κίνδυνο για ολόκληρη την πελατειακή βάση.
Επίσης, ο BfDI διερευνά τις διαδικασίες επαλήθευσης ταυτότητας και άλλων παρόχων τηλεπικοινωνιακών υπηρεσιών στη Γερμανία με βάση τα ευρήματά του, τις πληροφορίες και τις καταγγελίες πελατών.