Adatbiztonság megsértése Máltán: 65 000 eurós bírság a C-Planetnek
A noyb panasza nyomán az információs és adatvédelmi biztos (IDPC) 65 000 eurós bírságot szabott ki a C-Planet informatikai vállalatra. A vállalat a máltai választók 98%-ának adatait gyűjtötte össze illegálisan, beleértve a politikai preferenciákat is, és elmulasztotta a megfelelő adatvédelmi intézkedések meghozatalát. A C-Planet sem a felhasználókat, sem az adatvédelmi hatóságot nem értesítette az adatvédelmi incidensről.
Letöltés: Az IDPC határozata a C-PLANET ellen
A 2020-ban benyújtott panasz. A noyb 2020 novemberében nyújtott be panaszt panaszt a C-Planet IT Solutions ellen, amely cég felelős a máltai választói adatok hatalmas kiszivárgott adatbázisáért. A kiszivárgott személyes adatok több mint 330 000 érintett személy telefonszámát, születési dátumát és, szavazási szándékát és pártpreferenciáját tartalmazták.
Nincs jogalap. Az IDPC megállapította, hogy az adatokat a GDPR 6. és 9. cikke szerinti érvényes jogalap nélkül dolgozták fel. A határozatban a biztos arra a következtetésre jutott, hogy az adatbázisban szereplő számszerű azonosító az érintett érintettek politikai véleményére utalt. Ez az adatkategória érzékeny, és a GDPR értelmében csak nagyon kivételes körülmények között kezelhető. Ezek a feltételek nem teljesültek.
Az adatforrás ismeretlen. A C-Planet azt állította, hogy az adatokat az egyik ügyfele bocsátotta a rendelkezésére, a szóban forgó ügyfél azonban visszautasította az állításokat. Ennek az ügyfélnek a nevét az IDPC határozatából is kihagyták, amely nem határozza meg az adatok eredetét.
"Míg a határozat azt mutatja, hogy komolyan vették az ügy súlyát, az aggasztó, hogy még mindig nem tudjuk, hogyan és miért gyűjt és tárol ilyen típusú adatokat egy informatikai vállalat. Nincs garancia arra, hogy ez nem fordulhat elő még egyszer." Romain Robert, a noyb programigazgatója.
Bűnös gondatlanság. Az IDPC megállapította, hogy a C-Planet elmulasztotta a kockázatnak megfelelő technikai és szervezési intézkedések végrehajtását, ami az adatszivárgáshoz vezetett. A határozat azt is megerősíti, hogy a C-Planet elmulasztotta a személyes adatok megsértését kellő időben bejelenteni az IDPC-nek, és nem tájékoztatta az érintett személyeket.
A bírság összege 65 000 EUR. Az IDPC 65 000 EUR összegű bírságot szabott ki, figyelembe véve az egyénekre gyakorolt potenciálisan súlyos hatást és a jogaik és szabadságaik magas kockázatát is. Az IDPC arra is kötelezte a C-Planet-et, hogy törölje a jogellenesen feldolgozott személyes adatokat. A kollektív kereset a C-Planet ellen, amelyet a Daphne Alapítvány és a Repubblika kezdeményezett, még folyamatban van.
"Ez az ügy jól mutatja az adatvédelem fontosságát a demokrácia és az emberek szabadságjogai szempontjából. A lakosság szavazási szándékának összegyűjtése és feldolgozása nemcsak jogellenes, hanem veszélyes is, különösen olyan időkben, amikor az online politikai manipuláció ilyen forró téma"." Romain Robert, a noyb programigazgatója.
