Porušenie ochrany údajov na Malte: pokuta 65 000 € pre spoločnosť C-Planet
Na základe sťažnosti spoločnosti noyb uložil komisár pre ochranu informácií a údajov (IDPC) IT spoločnosti C-Planet pokutu vo výške 65 000 €. Spoločnosť nezákonne zhromažďovala údaje 98 % maltských voličov vrátane politických preferencií a neprijala primerané opatrenia na ochranu údajov. Spoločnosť C-Planet o porušení ochrany údajov neinformovala ani používateľov, ani orgán na ochranu údajov.
Na stiahnutie: Rozhodnutie IDPC proti spoločnosti C-PLANET
Sťažnosť podaná v roku 2020. V novembri 2020 podal noyb sťažnosť proti spoločnosti C-Planet IT Solutions, ktorá je zodpovedná za obrovský únik databázy údajov voličov na Malte. Uniknuté osobné údaje obsahovali telefónne čísla, dátumy narodenia a, volebné zámery a stranícke preferencie viac ako 330 000 dotknutých osôb.
Žiadny zákonný základ. IDPC zistil, že údaje boli spracované bez platného právneho základu podľa článkov 6 a 9 GDPR. V rozhodnutí komisár dospel k záveru, že číselný identifikátor v databáze sa vzťahoval na politické názory dotknutých osôb. Táto kategória údajov je citlivá a podľa GDPR sa môže spracúvať len za veľmi výnimočných okolností. Tieto podmienky neboli splnené.
Zdroj údajov nie je známy. Spoločnosť C-Planet tvrdila, že údaje jej poskytol jeden z jej klientov, dotknutý klient však tieto tvrdenia odmietol. Meno tohto klienta bolo tiež redigované z rozhodnutia IDPC, ktoré neurčuje pôvod údajov.
"Zatiaľ čo rozhodnutie ukazuje, že závažnosť prípadu bola braná vážne, znepokojujúce je, že stále nevieme, ako a prečo IT spoločnosť zhromažďuje a uchováva tento typ údajov. Neexistuje žiadna záruka, že sa to nebude opakovať." Romain Robert, programový riaditeľ spoločnosti noyb.
Zavinená nedbanlivosť. IDPC dospel k záveru, že spoločnosť C-Planet nezaviedla technické a organizačné opatrenia primerané riziku, čo viedlo k porušeniu ochrany údajov. V rozhodnutí sa tiež potvrdzuje, že spoločnosť C-Planet neoznámila porušenie ochrany osobných údajov IDPC včas a neinformovala dotknuté osoby.
Pokuta vo výške 65 000 EUR. IDPC udelil pokutu vo výške 65 000 €, pričom zohľadnil aj potenciálne závažný vplyv na jednotlivcov a vysoké riziko pre ich práva a slobody. IDPC tiež nariadil spoločnosti C-Planet vymazať všetky osobné údaje, ktoré boli spracované nezákonne. A kolektívna žaloba proti spoločnosti C-Planet, ktorú iniciovali nadácie Daphne a Repubblika, stále prebieha.
"Tento prípad poukazuje na význam ochrany údajov pre demokraciu a slobody ľudí. Zhromažďovanie a spracúvanie volebných zámerov obyvateľstva je nielen nezákonné, ale aj nebezpečné, najmä v čase, keď je politická manipulácia online takou horúcou témou." Romain Robert, programový riaditeľ noyb.
