Porušení ochrany osobních údajů na Maltě: pokuta 65 000 EUR pro společnost C-Planet
Na základě stížnosti společnosti noyb uložil komisař pro ochranu informací a údajů (IDPC) IT společnosti C-Planet pokutu ve výši 65 000 EUR. Společnost neoprávněně shromažďovala údaje 98 % maltských voličů, včetně politických preferencí, a nepřijala vhodná opatření na ochranu údajů. Společnost C-Planet o porušení ochrany údajů neinformovala ani uživatele, ani úřad pro ochranu osobních údajů.
Ke stažení: Rozhodnutí IDPC proti společnosti C-PLANET
Stížnost podaná v roce 2020. V listopadu 2020 podala společnost noyb stížnost proti společnosti C-Planet IT Solutions, která je odpovědná za obrovský únik databáze údajů voličů na Maltě. Uniklé osobní údaje zahrnovaly telefonní čísla, data narození a, volební záměry a stranické preference více než 330 000 dotčených osob.
Žádný zákonný základ. IDPC zjistil, že údaje byly zpracovávány bez platného právního základu podle článků 6 a 9 GDPR. Komisař v rozhodnutí dospěl k závěru, že číselný identifikátor v databázi se vztahuje k politickým názorům dotčených subjektů údajů. Tato kategorie údajů je citlivá a podle GDPR ji lze zpracovávat pouze za zcela výjimečných okolností. Tyto podmínky nebyly splněny.
Zdroj údajů není znám. Společnost C-Planet tvrdila, že jí údaje poskytl jeden z jejích klientů, dotyčný klient však tato tvrzení odmítl. Jméno tohoto klienta bylo rovněž redigováno v rozhodnutí IDPC, které neurčuje původ údajů.
"Zatímco rozhodnutí ukazuje, že závažnost případu byla brána vážně, znepokojující je, že stále nevíme, jak a proč IT společnost shromažďuje a uchovává tento typ údajů. Neexistuje žádná záruka, že se to nebude opakovat." Romain Robert, programový ředitel společnosti noyb.
Provinění z nedbalosti. IDPC dospěla k závěru, že společnost C-Planet nezavedla technická a organizační opatření odpovídající riziku, což vedlo k narušení bezpečnosti údajů. Rozhodnutí rovněž potvrzuje, že společnost C-Planet neoznámila porušení zabezpečení osobních údajů orgánu IDPC včas a neinformovala dotčené osoby.
Pokuta ve výši 65 000 EUR. IDPC udělil pokutu ve výši 65 000 EUR, přičemž zohlednil i možný závažný dopad na fyzické osoby a vysoké riziko pro jejich práva a svobody. IDPC rovněž nařídil společnosti C-Planet vymazat všechny osobní údaje, které byly zpracovávány protiprávně. A kolektivní žaloba proti společnosti C-Planet, kterou iniciovaly nadace Daphne a Repubblika, stále probíhá.
"Tento případ ukazuje význam ochrany údajů pro demokracii a svobody lidí. Shromažďování a zpracovávání volebních úmyslů obyvatel je nejen nezákonné, ale také nebezpečné, zejména v době, kdy je online politická manipulace tak ožehavým tématem." Romain Robert, programový ředitel noyb.
