Dataintrång på Malta: 65 000 euro i böter för C-Planet
Efter ett klagomål från noyb har Information & Data Protection Commissioner (IDPC) utdömt böter på 65 000 euro till IT-företaget C-Planet. Företaget hade olagligt samlat in uppgifter om 98% av de maltesiska väljarna, inklusive politiska preferenser, och underlåtit att vidta lämpliga dataskyddsåtgärder. C-Planet underrättade varken användarna eller dataskyddsmyndigheten om dataintrånget.
Ladda ner (på engelska): IDPC:s beslut mot C-PLANET
Klagomål inlämnat 2020. I november 2020 lämnade noyb in ett klagomål mot C-Planet IT Solutions, det företag som ansvarade för den enorma databas med väljaruppgifter som läckt ut på Malta. De läckta personuppgifterna omfattade telefonnummer, födelsedatum, röstningsintentioner och partisympatier för över 330 000 berörda personer.
Ingen laglig grund. IDPC konstaterade att uppgifterna behandlades utan någon giltig rättslig grund enligt artiklarna 6 och 9 i GDPR. Beslutskommissionären drog slutsatsen att den numeriska identifieraren i databasen hänvisade till de berörda registrerade personernas politiska åsikter. Denna kategori av uppgifter är känslig och får endast behandlas under mycket exceptionella omständigheter enligt dataskyddsförordningen. Dessa villkor var inte uppfyllda.
Uppgiftskällan är okänd. C-Planet hävdade att uppgifterna hade lämnats till dem av en av deras kunder, men kunden i fråga tillbakavisade anklagelserna. Namnet på denna kund var också borttaget från IDPC:s beslut, som inte fastställer uppgifternas ursprung.
"Även om beslutet visar att allvaret i fallet togs på allvar, är det oroande att vi fortfarande inte vet hur och varför ett IT-företag samlar in och lagrar denna typ av data. Det finns ingen garanti för att detta inte kommer att hända igen." Romain Robert, programdirektör på noyb.
Skyldig försumlighet. IDPC drog slutsatsen att C-Planet hade underlåtit att genomföra tekniska och organisatoriska åtgärder som var lämpliga med hänsyn till risken, vilket ledde till dataintrånget. Beslutet bekräftar också att C-Planet inte anmälde personuppgiftsincidenten till IDPC i rätt tid och inte informerade de berörda personerna.
Böter på 65 000 euro. IDPC utfärdade ett bötesbelopp på 65 000 euro, med beaktande av den potentiellt allvarliga inverkan på de enskilda personerna och den höga risken för deras rättigheter och friheter. IDPC beordrade också C-Planet att radera alla personuppgifter som behandlats olagligt. A kollektiv talan mot C-Planet, som initierats av Daphne Foundation och Repubblika, pågår fortfarande.
"Det här fallet visar hur viktigt dataskydd är för demokratin och människors friheter. Att samla in och bearbeta befolkningens röstningsintentioner är inte bara olagligt, utan också farligt, särskilt i tider då politisk manipulation på nätet är ett så hett ämne." Romain Robert, programdirektör på noyb.
