Tietomurto Maltalla: Yrityksen on ilmoitettava lähde 20 päivän kuluessa tai sille määrätään rangaistus
Maltan tietosuojaviranomainen (IDPC) on ryhtynyt määrätietoisiin toimiin C-PLANETia vastaan, joka on vastuussa äänestäjien tietomurrosta Maltalla. Sen jälkeen, kun toinen kantelija oli tehnyt valituksen noybiDPC on määrännyt C-PLANETin paljastamaan tarkat tiedot Maltan kansalaisten tietojen keräämisestä tiukan 20 päivän määräajan kuluessa. Jos yritys ei noudata tätä määräystä, se joutuu maksamaan varoittavan sakon.
- Blogikirjoitus: Poliittinen tietomurto Maltalla, C-Planet kieltäytyy tiedonsaantioikeudesta
- IDPC:n päätös
Alkuperäinen valitus. Marraskuussa 2020, noyb teki valituksen agc-PLANET IT Solutions -yhtiötä vastaan sen jälkeen, kun Maltalla oli tapahtunut merkittävä tietovuoto, joka vaaransi äänestäjien tiedot. Tietomurto paljasti arkaluonteisia tietoja, kuten puhelinnumeroita, syntymäaikoja, äänestysaikeita ja puoluekannatusta yli 330 000 henkilöltä, eli lähes kaikilta Maltan äänestäjiltä.
IDPC:n alkuperäinen päätös. IDPC määräsi tammikuussa 2020 65 000 euron sakon seuraaville tahoille C-PLANETille, ottaen huomioon vakavien vaikutusten vaikutuksen asianomaisiin henkilöihin ja merkittävän riskin heidän perusoikeuksilleen ja -vapauksilleen. Lisäksi Daphne-säätiön ja Repubblikan johtama ryhmäkanne C-PLANETia vastaan on parhaillaan käynnissä.
Tunnistamaton tietolähde. DeiDPC:n alkuperäisestä päätöksestä huolimatta kantelijoille on edelleen tuntematon tietojen alkuperä. IDPC:n päätöksessä ei käsitelty tietojen alkuperää, ja siinä poistettiin niiden C-PLANETin asiakkaiden nimet, joilta yhtiö väitti saaneensa tiedot.
"On huolestuttavaa, että yksityinen yritys voi salaa kerätä tietoja poliittisista mielipiteistä ilman, että sen tarvitsee selittää motiivejaan ja menetelmiään, erityisesti Euroopan unionin jäsenvaltiossa." -Romain Robert, tietosuojavaltuutettu noyb
Jatkuva avoimuuden puute. Ensimmäisen IDPC:n päätöksen jälkeen maltalaiset äänestäjät olivat edelleen pimennossa siitä, mistä heidän henkilökohtaiset ja poliittiset tietonsa olivat peräisin. Yhteistyössä noybkanssa, eräs henkilö, jota asia koskee esitti C-PLANETille virallisen pyynnön, jossa hän pyysi, että hänelle ilmoitettaisiin kaikki tietojen alkuperää koskevat tiedot. C-PLANET kieltäytyi kuitenkin antamasta vastausta vedoten tietojenkäsittelyn lopettamiseen ja meneillään olevaan tutkimukseen. Näin ollen, noyb teki toisen valituksen IDPC:lle ja kehotti Maltan tietosuojaviranomaista valvomaan C-PLANETin avoimuusvelvoitteita.
IDPC:n toinen päätös. IDPC:n päätös perustuu ensimmäiseen kanteluun, jonka teki noyb, jossa C-PLANETia syytettiin yleisen tietosuoja-asetuksen 15 artiklan rikkomisesta. Erityisesti C-PLANET ei ollut toimittanut kantelijalle kopiota hänen henkilökohtaisista tiedotteistaan henkilötiedoista ja asiaankuuluvista tiedoista, jotka liittyvät rikottuun tietokantaan. Nämä seikat huomioon ottaen havaintojen perusteella IDPC on valtuutti IT-yrityksen antamaan kantelijalle kopion hänen tiedoistaan. Lisäksi C-PLANETia vaaditaan antamaan kattavat tiedot kerätyistä tiedoista, mukaan lukien niiden alkuperä.
Määräaika. C-PLANETille on myönnetty non annettu 20 päivän määräaika, josta voidaan neuvotella, jotta se voi noudattaa IDPC:n määräystä ja toimittaa pyydetyt tiedot viipymättä kantelijalle. Jos yritys ei toimita näitä tietoja, se joutuu maksamaan sakkoa, joka on sekä iDPC:n päätöksen mukaan "oikeasuhteinen ja varoittava" GDPR:n mukaisesti.
