Παραβίαση δεδομένων στη Μάλτα: 65.000 € πρόστιμο για το C-Planet

Ιαν 18, 2022

Μετά από καταγγελία του noyb, ο Επίτροπος Πληροφοριών & Προστασίας Δεδομένων (IPDC) επέβαλε πρόστιμο 65.000 € στην εταιρεία πληροφορικής C-Planet. Η εταιρεία είχε συλλέξει παράνομα δεδομένα του 98% των Μαλτέζων ψηφοφόρων, συμπεριλαμβανομένων των πολιτικών προτιμήσεων και δεν έλαβε τα κατάλληλα μέτρα προστασίας δεδομένων. Η C-Planet δεν ενημέρωσε ούτε τους χρήστες ούτε την αρχή προστασίας δεδομένων σχετικά με την παραβίαση δεδομένων.

Λήψη: Απόφαση της IPDC κατά του C-PLANET

Η καταγγελία υποβλήθηκε το 2020. Τον Νοέμβριο του 2020,   Η noyb υπέβαλε καταγγελία κατά της C-Planet IT Solutions, της εταιρείας που είναι υπεύθυνη για την τεράστια διαρροή δεδομένων ψηφοφόρων στη Μάλτα. Οι προσωπικές πληροφορίες που διέρρευσαν περιελάμβαναν αριθμούς τηλεφώνου, ημερομηνίες γέννησης και προθέσεις ψήφου και κομματικές τάσεις περισσότερων από 330.000 ατόμων που επηρεάστηκαν.

Χωρίς νόμιμη βάση. Το IDPC διαπίστωσε ότι τα δεδομένα υποβλήθηκαν σε επεξεργασία χωρίς έγκυρη νομική βάση σύμφωνα με τα άρθρα 6 και 9 του GDPR. Η απόφαση Επίτροπος κατέληξε στο συμπέρασμα ότι το αριθμητικό αναγνωριστικό στη βάση δεδομένων αναφερόταν στις πολιτικές απόψεις των επηρεαζόμενων υποκειμένων των δεδομένων. Αυτή η κατηγορία δεδομένων είναι ευαίσθητη και μπορεί να υποβληθεί σε επεξεργασία μόνο σε πολύ εξαιρετικές περιπτώσεις σύμφωνα με τον GDPR. Αυτές οι προϋποθέσεις δεν πληρούνταν.

Άγνωστη πηγή δεδομένων. Η C-Planet ισχυρίστηκε ότι τα δεδομένα τους παρασχέθηκαν από έναν από τους πελάτες τους, ωστόσο, ο εν λόγω πελάτης απέρριψε τους ισχυρισμούς. Το όνομά τους διαγράφηκε επίσης από την απόφαση του IDPC που δεν καθορίζει την προέλευση των δεδομένων.

«Ενώ η απόφαση δείχνει ότι η σοβαρότητα της υπόθεσης λήφθηκε στα σοβαρά, αυτό που προκαλεί ανησυχία είναι ότι ακόμα δεν γνωρίζουμε πώς και γιατί μια εταιρεία πληροφορικής συλλέγει και αποθηκεύει αυτού του είδους τα δεδομένα. Δεν υπάρχει καμία εγγύηση ότι αυτό δεν θα συμβεί ξανά». Romain Robert, διευθυντής προγράμματος στο noyb .

Ένοχη αμέλεια. Η IPDC κατέληξε στο συμπέρασμα ότι η C-Planet δεν είχε εφαρμόσει τεχνικά και οργανωτικά μέτρα κατάλληλα για τον κίνδυνο, γεγονός που οδήγησε στην παραβίαση δεδομένων. Η απόφαση επιβεβαιώνει επίσης ότι η C-Planet παρέλειψε να γνωστοποιήσει την παραβίαση προσωπικών δεδομένων στην IPDC εγκαίρως και να ενημερώσει τα θιγόμενα άτομα.

Πρόστιμο 65.000 €. Το IDPC επέβαλε πρόστιμο 65.000 €, λαμβάνοντας επίσης υπόψη τις πιθανές σοβαρές επιπτώσεις στα άτομα και τον υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες τους. Το IDPC διέταξε επίσης την C-Planet να διαγράψει όλα τα προσωπικά δεδομένα που υποβλήθηκαν σε επεξεργασία παράνομα. Η συλλογική δράση κατά της C-Planet, που ξεκίνησε από το Daphne Foundation και τη Repubblika, είναι ακόμη σε εξέλιξη.

«Αυτή η υπόθεση δείχνει τη σημασία της προστασίας των δεδομένων για τη δημοκρατία και τις ελευθερίες των ανθρώπων. Η συλλογή και η επεξεργασία των προθέσεων ψήφου του πληθυσμού δεν είναι μόνο παράνομη, αλλά και επικίνδυνη, ειδικά σε περιόδους όπου η διαδικτυακή πολιτική χειραγώγηση είναι τόσο καυτό θέμα». Romain Robert, διευθυντής προγράμματος στο noyb .