Die nationale Aufsichtsbehörde für die Verarbeitung personenbezogener Daten hat im Dezember 2024 eine Untersuchung beim Betreiber Omniasig Vienna Insurance Group SA abgeschlossen und einen Verstoß gegen die Bestimmungen von Art. 32 Absatz. (4) in Verbindung mit Art. 32 Absatz. (1) und Abs. (2) der Verordnung (EU) 2016/679 .
Für die begangene Tat wurde der Betreiber mit einer Geldstrafe von 14.931 Lei, umgerechnet 3.000 Euro, belegt.
Die Untersuchung wurde nach der Übermittlung einer Meldung über eine Verletzung der Sicherheit personenbezogener Daten durch den Betreiber Omniasig Vienna Insurance Group SA gemäß den Bestimmungen von Art. 33 der Verordnung (EU) 2016/679.
So teilte der Betreiber mit, dass ein Mitarbeiter eines Verarbeiters (einer juristischen Person), mit dem er zusammenarbeitete, unrechtmäßige Beträge eingezogen habe, indem er unter Verwendung der Identität von Kunden bzw. versicherten Einzelpersonen Schadensersatzforderungen für nicht existente Ereignisse ausfüllte.
Bei der Untersuchung wurde festgestellt, dass der Mitarbeiter des Bevollmächtigten, der Zugriff auf die Schadensakten des Betreibers hatte, unbefugten Zugriff auf personenbezogene Daten hatte, wie z. B.: Vor- und Nachname, Privatadresse, Bild der Person, persönliche Identifikationsnummer, Nummer und Serie des Personalausweises, medizinische Daten, Finanzdaten der betroffenen Personen.
In diesem Zusammenhang kam es zu der Sicherheitsverletzung, weil über einen bestimmten Zeitraum hinweg unbefugt auf die personenbezogenen Daten einer erheblichen Zahl betroffener Personen zugegriffen wurde.
Somit wurde festgestellt, dass der Betreiber keine geeigneten technischen und organisatorischen Maßnahmen ergriffen hat, um ein dem Risiko der Verarbeitung angemessenes Sicherheitsniveau zu gewährleisten, einschließlich der Fähigkeit zur Gewährleistung der Integrität, um die Sicherheit der Verarbeitung zu gewährleisten, und dass er keine geeigneten Maßnahmen ergriffen hat, um sicherzustellen, dass keine natürlichen Personen, die unter der Aufsicht des Betreibers oder einer vom Betreiber ermächtigten Person handeln und Zugriff auf personenbezogene Daten haben, diese nur auf Anfrage des Betreibers verarbeiten dürfen.
Gleichzeitig wurde als Abhilfemaßnahme die Etablierung eines Inspektions-/Auditplans auf Ebene der vom Betreiber autorisierten Person gegenüber dem Betreiber angeordnet , um ähnliche Sicherheitsvorfälle zu vermeiden.
Der Betreiber bezahlte die festgesetzte Geldbuße für die Ordnungswidrigkeit.
https://www.dataprotection.ro/index.jsp?page=Comunicat_Presa_06_02_2025&lang=ro