Tietomurto Maltalla: C-Planetille 65 000 euron sakko

Jan 20, 2022

Tietomurto Maltalla: C-Planetille 65 000 euron sakko

Tietosuojavaltuutettu (IDPC) määräsi noybin tekemän valituksen perusteella 65 000 euron sakon tietotekniikkayhtiö C-Planetille. Yritys oli kerännyt laittomasti tietoja 98 prosentista maltalaisista äänestäjistä, mukaan lukien poliittiset mieltymykset, eikä se ollut toteuttanut asianmukaisia tietosuojaa koskevia toimenpiteitä. C-Planet ei ilmoittanut tietomurrosta käyttäjille eikä tietosuojaviranomaiselle.

Lataa: IDPC:n päätös C-PLANETia vastaan

Vuonna 2020 jätetty valitus Marraskuussa 2020noyb jätti valituksen c-Planet IT Solutions -yhtiötä vastaan, joka on vastuussa valtavasta vuotaneesta äänestäjätietokannasta Maltalla. Vuodetut henkilötiedot sisälsivät puhelinnumerot, syntymäajat ja, äänestysaikomukset ja puoluekannatukset yli 330 000 henkilöltä, joita asia koski.

Ei laillista perustetta.iDPC totesi, että tietoja käsiteltiin ilman pätevää oikeusperustaa yleisen tietosuoja-asetuksen 6 ja 9 artiklan mukaisesti. Päätöksessään komissaari totesi, että tietokannassa oleva numeerinen tunniste viittasi asianomaisten rekisteröityjen poliittisiin mielipiteisiin. Tämä tietoluokka on arkaluonteinen, ja sitä voidaan yleisen tietosuoja-asetuksen mukaan käsitellä vain hyvin poikkeuksellisissa olosuhteissa. Nämä edellytykset eivät täyttyneet

Tietolähde tuntematon.c-Planet väitti, että eräs sen asiakkaista oli toimittanut tiedot sille, mutta kyseinen asiakas kuitenkin torjui väitteet. Tämän asiakkaan nimi oli myös poistettu IDPC:n päätöksestä, jossa ei määritetä tietojen alkuperää

"Vaikka päätös osoittaa, että tapauksen vakavuuteen suhtauduttiin vakavasti, huolestuttavaa on se, että emme vieläkään tiedä, miten ja miksi tietotekniikkayhtiö kerää ja tallentaa tämäntyyppisiä tietoja. Ei ole mitään takeita siitä, että näin ei tapahdu uudelleen." Romain Robert, noybin ohjelmajohtaja

Syyllinen huolimattomuus IDPC päätteli, että C-Planet ei ollut toteuttanut riskiin nähden asianmukaisia teknisiä ja organisatorisia toimenpiteitä, mikä johti tietomurtoon. Päätöksessä vahvistetaan myös, että C-Planet ei ilmoittanut henkilötietojen tietoturvaloukkauksesta IDPC:lle ajoissa eikä informoinut asianomaisia henkilöitä.

Sakko on 65 000 euroa.iDPC määräsi 65 000 euron sakon ottaen huomioon myös mahdolliset vakavat vaikutukset yksilöihin ja heidän oikeuksiinsa ja vapauksiinsa kohdistuvan suuren riskin. IDPC määräsi C-Planetin myös poistamaan kaikki laittomasti käsitellyt henkilötiedot. Aryhmäkanne daphne-säätiön ja Repubblikan käynnistämä kollektiivinen kanteen nostaminen C-Planetia vastaan on edelleen käynnissä.

"Tämä tapaus osoittaa, miten tärkeää tietosuoja on demokratian ja ihmisten vapauksien kannalta. Väestön äänestysaikomusten kerääminen ja käsittely on paitsi laitonta myös vaarallista, erityisesti aikoina, jolloin poliittinen manipulointi verkossa on niin kuuma aihe." Romain Robert, noybin ohjelmajohtaja.