Datalekken in Malta: Bedrijf moet bron binnen 20 dagen bekendmaken of wordt bestraft
De Maltese autoriteit voor gegevensbescherming (IDPC) heeft beslissende maatregelen genomen tegen C-PLANET, het IT-bedrijf dat verantwoordelijk is voor een datalek bij kiezers in Malta. Na een tweede klacht ingediend door noybheeft de IDPC C-PLANET gelast de specifieke details over het verzamelen van gegevens van Maltese burgers te onthullen binnen een strikte termijn van 20 dagen. Als het bedrijf niet aan dit bevel voldoet, zal het een "afschrikkende" boete opgelegd krijgen.
- Blog post: Inbreuk op politieke gegevens in Malta, C-Planet weigert recht op toegang en informatie
- Besluit van de IDPC
Eerste klacht. In november 2020, noyb een klacht ingediend tegentegen C-PLANET IT Solutions na een aanzienlijk datalek waarbij kiezersinformatie in Malta werd gecompromitteerd. De inbreuk legde gevoelige gegevens bloot, waaronder telefoonnummers, geboortedata, stemintenties en partijlidmaatschap van meer dan 330 000 personen, dus bijna alle kiezers in Malta.
Eerste IDPC-besluit. In januari 2020 heeft de IDPC een boete van 65 000 euro opgelegd aan C-PLANET, rekening houdend met de ernstige gevolgen voor de getroffen personen en het aanzienlijke risico voor hun fundamentele rechten en vrijheden. Daarnaast loopt er momenteel een collectieve actie onder leiding van de Daphne Foundation en Repubblika tegen C-PLANET.
Niet-geïdentificeerde gegevensbron. Deondanks het oorspronkelijke besluit van het IDPC blijft de herkomst van de gegevens voor de klagers onbekend. De uitspraak van de IDPC ging niet in op de herkomst van de gegevens en vermeldde de namen van de klanten van C-PLANET van wie het bedrijf beweerde de gegevens te hebben verkregen.
"Het is verontrustend dat een particuliere onderneming in het geheim gegevens over politieke meningen kan verzamelen zonder haar motieven en methoden te hoeven uitleggen, met name in een land van de Europese Unie." -Romain Robert, advocaat gegevensbescherming bij noyb
Blijvend gebrek aan transparantie. Na het eerste IDPC-besluit werden de Maltese kiezers waren nog steeds in het ongewisse over de oorspronkelijke bron van hun persoonlijke en politieke gegevens. In samenwerking met noybheeft een getroffen persoon een formeel verzoek ingediend bij C-PLANET om alle informatie over de oorsprong van de gegevens bekend te maken. C-PLANET weigerde echter een antwoord te geven, met het argument dat de verwerking van de gegevens is stopgezet en dat er een onderzoek loopt. Bijgevolg, noyb een tweede klacht ingediend bij de IDPC, waarbij de Maltese gegevensbeschermingsautoriteit dringend werd verzocht C-PLANET transparantieverplichtingen op te leggen.
Tweede IDPC-besluit. Het besluit van de IDPC vloeit voort uit de eerste klacht van noyb, die C-PLANET beschuldigde van schending van artikel 15 GDPR. Met name heeft C-PLANET nagelaten de klager een kopie te verstrekken van zijn persoonsgegevens en relevante informatie met betrekking tot de inbreuk gegevens en relevante informatie met betrekking tot de geschonden databank. In het licht van deze bevindingen heeft de IDPC het IT-bedrijf opgedragen de klager een kopie van zijn gegevens te verstrekken. Bovendien moet C-PLANET uitgebreide details verstrekken over de verzamelde informatie, waaronder de herkomst ervan.
Nalevingstermijn. C-PLANET heeft een nonderhandelbare termijn van 20 dagen om aan het bevel van de IDPC te voldoen door de gevraagde informatie onmiddellijk aan de klager te verstrekken. Indien de onderneming deze informatie niet verstrekt, zal haar een boete worden opgelegd die zowel "evenredig als afschrikkend" is "evenredig en afschrikkend" is krachtens de GDPR, volgens het besluit van de IDPC.