Den tyske teleoperatøren 1&1 Telecom, som tilbyr både mobil-, internettaksess- og hostingtjenester, har blitt ilagt et gebyr på 9,55 millioner euro etter at selskapet har vært for slepphendte med å oppgi kundeinformasjon fra selskapets callsenter. Selskapet er et datterselskap av 1&1 Drillisch AG.
Alt som skulle til for å få utlevert kundedata via telefon, var å oppgi navn og fødselsdato på kunden.
Dette må bedrifter gjøre
Dette skriver det tyske datatilsynet BfDI (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) i en pressemelding. Begrunnelsen for gebyret er at 1&1 Telecom har brutt med GDPR-artikkel 32, som blant annet krever at virksomheter er forpliktet til å ta i bruk tekniske og organisatoriske tiltak for systematisk å beskytte prosesseringen av persondata.
Samarbeid lønte seg
Ifølge BfDI skal telekomselskapet ha vist stor åpenhet og samarbeidsvilje etter at svakhetene ble påpekt. Det skal raskt ha innført ytterligere krav om informasjon før kundeopplysninger blir utlevert, og er nå i ferd med å innføre en ny autentiseringsprosedyre i samarbeid med personvernmyndighetene i Tyskland.
Til tross for at det gebyr er så stort at det lett kommer inn på listen over de ti største GDPR-gebyrene som har blitt ilagt virksomheter i 2019 (Digi ekstra), så har viljen til samarbeid fra 1&1s side bidratt til at gebyr er på det BfDI kaller et lavt nivå.
Noe av det som selvfølgelig har trukket opp, var det ikke var et begrenset antall kunder som kunne ha blitt berørt av dette, men samtlige av de mer enn 4 millioner kundene i kundedatabasen til selskapet.
Brukte 180 timer på å rette opp – men retten mener de ikke har lidd noe tap
