Naruszenie bezpieczeństwa danych na Malcie: Firma musi ujawnić źródło w ciągu 20 dni lub grożą jej kary
Maltański Urząd Ochrony Danych (IDPC) podjął zdecydowane działania przeciwko C-PLANET, firmie informatycznej odpowiedzialnej za naruszenie danych wyborców na Malcie. W następstwie drugiej skargi złożonej przez noybiDPC nakazał C-PLANET ujawnienie konkretnych szczegółów dotyczących gromadzenia danych należących do obywateli Malty w ściśle określonym terminie 20 dni. Jeśli firma nie zastosuje się do tego nakazu, zostanie ukarana "odstraszającą" grzywną.
- Wpis na blogu: Naruszenie danych politycznych na Malcie, C-Planet odmawia prawa dostępu i informacji
- Decyzja IDPC
Wstępna skarga. W listopadzie 2020 r, noyb złożył skargę agprzeciwko C-PLANET IT Solutions w następstwie poważnego wycieku danych naruszającego informacje o wyborcach na Malcie. Naruszenie ujawniło poufne dane, w tym numery telefonów, daty urodzenia, zamiary głosowania i przynależność partyjną ponad 330 000 osób, czyli prawie wszystkich wyborców na Malcie.
Wstępna decyzja IDPC. W styczniu 2020 r. IDPC nałożyła grzywnę w wysokości 65 000 euro na C-PLANET, biorąc pod uwagę poważny wpływ na poszkodowane osoby oraz znaczne ryzyko dla ich podstawowych praw i wolności. Ponadto obecnie toczy się postępowanie zbiorowe prowadzone przez Fundację Daphne i Repubblikę przeciwko C-PLANET.
Niezidentyfikowane źródło danych. Depomimo pierwotnej decyzji IDPC, pochodzenie danych pozostaje nieznane skarżącym. W orzeczeniu IDPC nie odniesiono się do pochodzenia danych i zredagowano nazwy klientów C-PLANET, od których firma twierdziła, że uzyskała dane.
"Niepokojące jest to, że prywatna firma może potajemnie gromadzić dane na temat opinii politycznych bez konieczności wyjaśniania swoich motywów i metod, zwłaszcza w kraju Unii Europejskiej." -Romain Robert, prawnik ds. ochrony danych w noyb
Ciągły brak przejrzystości. W następstwie pierwszej decyzji IDPC maltańscy wyborcy byli nadal pozostawali w niewiedzy co do pierwotnego źródła ich danych osobowych i politycznych. We współpracy z noybposzkodowana osoba złożyła formalny wniosek do C-PLANET, domagając się ujawnienia wszelkich informacji dotyczących pochodzenia danych. C-PLANET odmówił jednak udzielenia odpowiedzi, powołując się na zaprzestanie przetwarzania danych i trwające dochodzenie. W konsekwencji, noyb złożył drugą skargę do IDPC, wzywając maltański organ ochrony danych do wyegzekwowania od C-PLANET obowiązków w zakresie przejrzystości.
Druga decyzja IDPC. Decyzja IDPC wynika z pierwotnej skargi złożonej przez noybktóra oskarżyła C-PLANET o naruszenie art. 15 RODO. W szczególności C-PLANET nie dostarczył skarżącemu kopii jego danych osobowych danych osobowych i istotnych informacji dotyczących naruszonej bazy danych. W świetle tych w świetle tych ustaleń IDPC upoważniła firmę informatyczną do przekazania skarżącemu kopii jego danych. Ponadto C-PLANET jest zobowiązany do dostarczenia wyczerpujących informacji na temat zebranych informacji, w tym ich pochodzenia.
Termin zgodności. Firmie C-PLANET przyznano 20-dniowy termin, który nie podlega negocjacjom20-dniowy termin na zastosowanie się do nakazu IDPC poprzez niezwłoczne dostarczenie skarżącemu żądanych informacji. Jeśli firma nie dostarczy tych informacji, zostanie ukarana grzywną, która jest zarówno "proporcjonalna i odstraszająca" na mocy RODO, zgodnie z decyzją IDPC.