Dataintrång på Malta: Företag måste avslöja källan inom 20 dagar eller straffas med böter
Den maltesiska dataskyddsmyndigheten (IDPC) har vidtagit avgörande åtgärder mot C-PLANET, IT-företaget som är ansvarigt för ett dataintrång hos väljare på Malta. Efter ett andra klagomål inlämnat av noybhar IDPC beordrat C-PLANET att avslöja de specifika detaljerna om insamlingen av uppgifter som tillhör maltesiska medborgare inom en strikt tidsfrist på 20 dagar. Om företaget inte följer denna order kommer de att få betala ett "avskräckande" bötesbelopp.
- Blogginlägg: Politiskt dataintrång på Malta, C-Planet vägrar rätt till tillgång och information
- Beslut av IDPC
Inledande klagomål. I november 2020, noyb in ett klagomål motmot C-PLANET IT Solutions efter en betydande dataläcka som äventyrade väljarinformation på Malta. Läckan exponerade känsliga uppgifter, inklusive telefonnummer, födelsedatum, röstningsintentioner och partitillhörighet för över 330 000 personer, dvs. nästan alla väljare på Malta.
IDPC:s ursprungliga beslut. I januari 2020 utdömde IDPC böter på 65 000 euro till C-PLANET, med hänsyn till den allvarliga inverkan på berörda personer och den betydande risken för deras grundläggande rättigheter och friheter. Dessutom pågår för närvarande en kollektiv åtgärd mot C-PLANET som leds av Daphne Foundation och Repubblika.
Oidentifierad datakälla. Detrots IDPC:s ursprungliga beslut är uppgifternas ursprung fortfarande okänt för de klagande. I IDPC:s beslut behandlades inte uppgifternas ursprung och namnen på C-PLANET:s kunder, från vilka företaget påstod sig ha erhållit uppgifterna, utelämnades.
"Det är oroande att ett privat företag i hemlighet kan samla in uppgifter om politiska åsikter utan att behöva förklara sina motiv och metoder, särskilt i ett EU-land." -Romain Robert, dataskyddsjurist på noyb
Fortsatt brist på transparens. Efter det första IDPC-beslutet fick de maltesiska väljarna fortfarande fortfarande i ovisshet om den ursprungliga källan till deras personliga och politiska uppgifter. I samarbete med noybhar en berörd person en formell begäran till C-PLANET om att få ta del av all information som rörde uppgifternas ursprung. C-PLANET vägrade dock att ge något svar med hänvisning till att databehandlingen hade upphört och att en utredning pågick. Följaktligen, noyb ett andra klagomål till IDPC och uppmanade den maltesiska dataskyddsmyndigheten att genomdriva C-PLANETs skyldigheter avseende öppenhet.
IDPC:s andra beslut. IDPC:s beslut härrör från det första klagomålet som lämnades in av noybdär C-PLANET anklagades för att ha brutit mot artikel 15 i GDPR. Specifikt underlät C-PLANET att förse klaganden med en kopia av sina personuppgifter och personuppgifter och relevant information som rör den databas som utsatts för intrång. Mot bakgrund av dessa resultaten har IDPC ålagt IT-företaget gett IT-företaget i uppdrag att ge den klagande en kopia av sina uppgifter. Dessutom är C-PLANET skyldigt att tillhandahålla omfattande information om den insamlade informationen, inklusive dess ursprung.
Tidsfrist för efterlevnad. C-PLANET har beviljats en nförhandlingsbar 20-dagarsperiod för att följa IDPC:s order genom att omedelbart leverera den begärda informationen till den klagande. Om företaget underlåter att tillhandahålla denna information kommer det att åläggas böter som är både "proportionerliga och avskräckande" enligt GDPR, i enlighet med IDPC:s beslut.
