Litewski Państwowy Inspektorat Ochrony Danych („DPA”) nałożył pierwszą karę za naruszenie przepisów o ochronie danych osobowych. Mistertango – działająca na obszarze Europy firma zajmująca się obsługą elektronicznych płatności – została ukarana grzywną w wysokości 61 500 EUR za naruszenie zasady minimalizacji i ograniczenia przechowywania danych, a także nie powiadomienia o wycieku danych z lipca 2018 r.
DPA stwierdził, że firma zbierała nadmierne informacje w celu przetworzenia płatności klientów. Oprócz danych osobowych niezbędnych do przeprowadzenia transakcji, takich jak imię i nazwisko klienta, numer konta, waluta, cel transakcji i jej kod, w niektórych przypadkach, firma zbierała również informacje o fakturach elektronicznych (daty, dane nadawców, kwoty) i nieprzeczytane wiadomości (daty, tematy i część tekstu), a także informacje o pożyczkach klienta, funduszach emerytalnych, kartach kredytowych itp.
Chociaż okres przechowywania wszystkich tych danych ustalono na okres 10 minut, firma nie była
w stanie udowodnić (z naruszeniem zasady odpowiedzialności), że zasada ta była faktycznie stosowana. Litewski organ ochrony danych stwierdził, że dane były przechowywane przez 216 dni, co stanowiło naruszenie art. 5 RODO.
W toku dochodzenia ustalono, że strona internetowa poprzez, którą przetwarzane były płatności przez Mistertango, zawierała dane osobowe klientów i była otwarcie dostępna online przez co najmniej dwa dni w lipcu 2018 r. Na stronie znajdowało się również ponad 9 000 zrzutów ekranu zawierających informacje o sesjach płatniczych klientów firmy w 12 bankach zlokalizowanych w różnych krajach. Mistertango nie powiadomiło litewskiego organu ochrony danych o tym naruszeniu.
Ustalono również, że bezpieczeństwem informacji i obsługą infrastruktury IT zajmował się jeden pracownik firmy. DPA uznał, że sprawowanie obydwu tych funkcji może prowadzić do konfliktu interesów i spowodować brak odpowiedniej ochrony przed nieautoryzowanymi i przypadkowymi modyfikacjami.
Jak podaje DPA, kwota kary została wyznaczona na podstawie następujących czynników:
- Firma regularnie przetwarzała nadmierną ilość danych osobowych dłużej niż to było konieczne, bez zapewnienia przejrzystości przetwarzania,
- Niektóre nadmierne dane osobowe były również chronione na mocy przepisów o tajemnicy bankowej,
- Firma nie szyfrowała danych osobowych oraz nie wprowadziła kontroli dostępu,
- Gdy naruszenie miało miejsce, Mistertango nie powiadomiło organu ochrony danych, chociaż incydent dotyczył łatwo identyfikowalnych osób, których dane dotyczą.
Organ ochrony danych wziął również pod uwagę całkowity roczny obrót przedsiębiorstwa, chociaż kwota obrotu nie została podana w komunikacie prasowym.
Sprawa zawiera również element transgraniczny, ponieważ ukarana firma posiada spółkę zależną na Łotwie, a naruszenie opisane powyżej dotyczyło danych osobowych zarówno Litwinów, jak i osób innych narodowości. Litewski organ ochrony danych, działający prawdopodobnie jako wiodący organ nadzorczy, współpracował z łotewskim organem ochrony danych i zwrócił się o jego opinię na temat ostatecznej decyzji w tej sprawie. W komunikacie prasowym wskazano, że litewski organ ochrony danych otrzymał stosowną informację od swojego Łotewskiego odpowiednika, ale niestety nie przedstawiono więcej informacji na temat procedury wymienionej w art. 60 RODO.
Decyzja litewskiego organu ochrony danych osobowych o wydaniu takiej kary, pokazuje, że DPA poważnie traktuje kwestię naruszeń danych, w szczególności dotyczących informacji finansowych. Od nałożonej kary Mistertango może odwołać się do sądu.
Źródło:
https://globaldatareview.com/article/1193053/lithuanian-watchdog-issues-first-gdpr-fine