Naruszenie danych na Malcie: 65 000 euro grzywny dla C-Planet

sty 18, 2022

W następstwie skargi złożonej przez noyb, Komisarz ds. Informacji i Ochrony Danych (IPDC) nałożył grzywnę w wysokości 65 000 € na firmę informatyczną C-Planet. Firma ta nielegalnie gromadziła dane 98% maltańskich wyborców, w tym dane dotyczące preferencji politycznych, i nie podjęła odpowiednich środków ochrony danych. C-Planet nie powiadomiła o naruszeniu danych ani użytkowników, ani organu ochrony danych.

Pobierz: Decyzja IPDC przeciwko C-PLANET

Skarga złożona w 2020 r W listopadzie 2020 r.noybzłożył skargę przeciwko C-Planet IT Solutions, firmie odpowiedzialnej za ogromny wyciek bazy danych wyborców na Malcie. Wyciekłe dane osobowe obejmowały numery telefonów, daty urodzenia oraz zamiary wyborcze i sympatie partyjne ponad 330 000 osób, których to dotyczyło.

Brak podstawy prawnej.iDPC stwierdził, że dane te były przetwarzane bez ważnej podstawy prawnej na mocy art. 6 i 9 GDPR. Komisarz ds. decyzji stwierdził, że identyfikator numeryczny w bazie danych odnosił się do poglądów politycznych zainteresowanych osób, których dane dotyczą. Ta kategoria danych jest wrażliwa i zgodnie z GDPR może być przetwarzana jedynie w bardzo wyjątkowych okolicznościach. Warunki te nie zostały spełnione

Źródło danych nieznane.firma C-Planet twierdziła, że dane zostały jej przekazane przez jednego z klientów, jednak klient ten odrzucił te zarzuty. Jego nazwa została również zredagowana z decyzji IDPC, która nie określa pochodzenia danych

"O ile decyzja świadczy o poważnym potraktowaniu sprawy, o tyle niepokojące jest to, że nadal nie wiemy, w jaki sposób i dlaczego firma informatyczna gromadzi i przechowuje tego typu dane. Nie ma gwarancji, że taka sytuacja się nie powtórzy." Romain Robert, dyrektor programowy w noyb

Winne zaniedbania IPDC stwierdziło, że C-Planet nie wdrożyło środków technicznych i organizacyjnych odpowiednich do ryzyka, co doprowadziło do naruszenia danych. Decyzja potwierdza również, że C-Planet nie zgłosiło naruszenia danych osobowych do IPDC w odpowiednim czasie i nie poinformowało osób, których ono dotyczyło.

Grzywna w wysokości 65 000 EUR.iDPC nałożył grzywnę w wysokości 65 000 EUR, biorąc również pod uwagę potencjalnie poważne skutki dla osób fizycznych oraz wysokie ryzyko dla ich praw i wolności. IDPC nakazał również firmie C-Planet usunięcie wszystkich danych osobowych, które były przetwarzane niezgodnie z prawem.powództwo zbiorowe przeciwko C-Planet, zainicjowane przez Fundację Daphne i Repubblika, jest nadal w toku.

"Ten przypadek pokazuje, jak ważna jest ochrona danych dla demokracji i swobód obywatelskich. Zbieranie i przetwarzanie intencji wyborczych ludności jest nie tylko nielegalne, ale i niebezpieczne, zwłaszcza w czasach, gdy manipulacja polityczna online jest tak gorącym tematem." Romain Robert, dyrektor programowy w noyb.