GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Pierwsza kara za naruszenie przepisów RODO na Litwie

Pierwsza kara za naruszenie przepisów RODO na Litwie

Litewski Państwowy Inspektorat Ochrony Danych („DPA”) nałożył pierwszą karę za naruszenie przepisów o ochronie danych osobowych. Mistertango – działająca na obszarze Europy firma zajmująca się obsługą elektronicznych płatności – została ukarana grzywną w wysokości 61 500 EUR za naruszenie zasady minimalizacji i ograniczenia przechowywania danych, a także nie powiadomienia o wycieku danych z lipca 2018 r.

DPA stwierdził, że firma zbierała nadmierne informacje w celu przetworzenia płatności klientów. Oprócz danych osobowych niezbędnych do przeprowadzenia transakcji, takich jak imię i nazwisko klienta, numer konta, waluta, cel transakcji i jej kod, w niektórych przypadkach, firma zbierała również informacje o fakturach elektronicznych (daty, dane nadawców, kwoty) i nieprzeczytane wiadomości (daty, tematy i część tekstu), a także informacje o pożyczkach klienta, funduszach emerytalnych, kartach kredytowych itp.

Chociaż okres przechowywania wszystkich tych danych ustalono na okres 10 minut, firma nie była
w stanie udowodnić (z naruszeniem zasady odpowiedzialności), że zasada ta była faktycznie stosowana. Litewski organ ochrony danych stwierdził, że dane były przechowywane przez 216 dni, co stanowiło naruszenie art. 5 RODO.

W toku dochodzenia ustalono, że strona internetowa poprzez, którą przetwarzane były płatności przez Mistertango, zawierała dane osobowe klientów i była otwarcie dostępna online przez co najmniej dwa dni w lipcu 2018 r. Na stronie znajdowało się również ponad 9 000 zrzutów ekranu zawierających informacje o sesjach płatniczych klientów firmy w 12 bankach zlokalizowanych w różnych krajach. Mistertango nie powiadomiło litewskiego organu ochrony danych o tym naruszeniu.

Ustalono również, że bezpieczeństwem informacji i obsługą infrastruktury IT zajmował się jeden pracownik firmy. DPA uznał, że sprawowanie obydwu tych funkcji może prowadzić do konfliktu interesów i spowodować brak odpowiedniej ochrony przed nieautoryzowanymi i przypadkowymi modyfikacjami.

Jak podaje DPA, kwota kary została wyznaczona na podstawie następujących czynników:

Organ ochrony danych wziął również pod uwagę całkowity roczny obrót przedsiębiorstwa, chociaż kwota obrotu nie została podana w komunikacie prasowym.

Sprawa zawiera również element transgraniczny, ponieważ ukarana firma posiada spółkę zależną na Łotwie, a naruszenie opisane powyżej dotyczyło danych osobowych zarówno Litwinów, jak i osób innych narodowości. Litewski organ ochrony danych, działający prawdopodobnie jako wiodący organ nadzorczy, współpracował z łotewskim organem ochrony danych i zwrócił się o jego opinię na temat ostatecznej decyzji w tej sprawie. W komunikacie prasowym wskazano, że litewski organ ochrony danych otrzymał stosowną informację od swojego Łotewskiego odpowiednika, ale niestety nie przedstawiono więcej informacji na temat procedury wymienionej w art. 60 RODO.

Decyzja litewskiego organu ochrony danych osobowych o wydaniu takiej kary, pokazuje, że DPA poważnie traktuje kwestię naruszeń danych, w szczególności dotyczących informacji finansowych. Od nałożonej kary Mistertango może odwołać się do sądu.

Źródło:

https://www.ada.lt/go.php/lit/Imones-atsakomybes-neisvengs–lietuvoje-skirta-zenkli-bauda-uz-bendrojo-duomenu-apsaugos-reglamento-pazeidimus-/1

https://globaldatareview.com/article/1193053/lithuanian-watchdog-issues-first-gdpr-fine