Na een klacht van noyb heeft de commissaris voor informatie en gegevensbescherming (Information & Data Protection Commissioner - IPDC) het IT-bedrijf C-Planet een boete van 65 000 euro opgelegd. Het bedrijf had illegaal gegevens verzameld van 98% van de Maltese kiezers, waaronder politieke voorkeuren, en verzuimde passende maatregelen te nemen om de gegevens te beschermen. C-Planet heeft noch de gebruikers, noch de gegevensbeschermingsautoriteit van het datalek op de hoogte gebracht.
Download: Besluit van het IPDC tegen C-PLANET
Klacht ingediend in 2020 In november 2020 heeftnoybeen klacht tegen C-Planet IT Solutions, het bedrijf dat verantwoordelijk is voor de enorme uitgelekte databank met kiezersgegevens in Malta. De gelekte persoonsgegevens omvatten telefoonnummers, geboortedata en de stemintenties en partijvoorkeur van meer dan 330.000 betrokken personen.
Geen rechtmatige grondslag.het IDPC stelde vast dat de gegevens waren verwerkt zonder geldige rechtsgrondslag in de zin van de artikelen 6 en 9 GDPR. De commissaris voor gegevensbescherming concludeerde dat het numerieke identificatienummer in de databank verwees naar de politieke opvattingen van de betrokken betrokkenen. Deze categorie gegevens is gevoelig en mag volgens de GDPR slechts in zeer uitzonderlijke omstandigheden worden verwerkt. Aan deze voorwaarden was niet voldaan
Gegevensbron onbekend.c-Planet beweerde dat de gegevens aan hen waren verstrekt door een van hun klanten, maar de klant in kwestie wees deze beweringen van de hand. Hun naam werd ook weggelaten in de beslissing van het IDPC, waarin de oorsprong van de gegevens niet wordt vastgesteld
"Hoewel uit het besluit blijkt dat de ernst van de zaak serieus is genomen, is het verontrustend dat we nog steeds niet weten hoe en waarom een IT-bedrijf dit soort gegevens verzamelt en opslaat. Er is geen garantie dat dit niet meer zal gebeuren." Romain Robert, programmadirecteur bij noyb
Schuldige nalatigheid Het IPDC concludeerde dat C-Planet had nagelaten technische en organisatorische maatregelen te nemen die in verhouding stonden tot het risico, wat tot de datalek heeft geleid. In het besluit wordt ook bevestigd dat C-Planet heeft nagelaten de inbreuk in verband met persoonsgegevens tijdig aan het IPDC te melden en de getroffen personen te informeren.
Boete van 65 000 euro.de IDPC heeft een boete van 65 000 euro opgelegd, mede gelet op de mogelijk ernstige gevolgen voor de betrokken personen en het grote risico voor hun rechten en vrijheden. De IDPC gelastte C-Planet ook alle persoonsgegevens te wissen die onrechtmatig waren verwerkt. Decollectieve actie tegen C-Planet, die is aangespannen door de Daphne Foundation en Repubblika, loopt nog.
"Deze zaak toont het belang aan van gegevensbescherming voor de democratie en de vrijheden van de mensen. Het verzamelen en verwerken van stemintenties van de bevolking is niet alleen illegaal, maar ook gevaarlijk, zeker in tijden waarin online politieke manipulatie zo'n hot item is." Romain Robert, programmadirecteur bij noyb.