Tillsynsmyndigheten i Malta, Information and Data Protection Commissioner, IDPC, har ålagt IT-företaget C-planet med en sanktionsavgift på € 65 000, motsvarande cirka 675 000 svenska kronor. C-planet anlitades av Arbetarpartiet i Malta för att hantera privat information om maltesiska väljare. En tillsyn av företaget påbörjades på begäran av en oberoende valkandidat, Arnold Cassola.

Hur gick dataintrånget till och vilka personuppgifter var det fråga om?

Personuppgifter tillhörande 337 384 väljare offentliggjordes online i samband med en dataläcka i april 2020. Informationen kom ursprungligen från Arbetarpartiets databas där det fanns en intern lista under namnet ”Local Area Network” som innehöll väljares personuppgifter.

Personuppgifterna som röjdes i samband med läckan var namn, adresser, ID-korts uppgifter, telefonnummer och uppgifter om väljarnas avsikter. IDPC bekräftade att de sistnämnda uppgifterna identifierade de enskilda väljarnas politiska åsikt. De anses därför vara särskilt känsliga och tillsynsmyndigheten konstaterade att C-planet bröt mot GDPR genom att behandla dessa utan någon giltig laglig grund.

Utöver uppgifter som kom från sekretessbelagda röstlängder, innehöll listan antingen en etta eller en tvåa som stod bredvid väljarens namn. Ettan stod för att väljaren var att se som Arbetarpartiets anhängare, medan tvåan angav att väljaren sympatiserade med Nationalistpartiet. IDPC bekräftade att uppgifter som identifierade de enskilda väljarnas politiska åsikt ingick i databasen. Enligt uppgifter om Europeiska valresultat från Europaparlamentet fick Arbetarpartiet 54,29% av rösterna och Nationalistpartiet 37,9%.

Arbetarpartiet tog avstånd från intrånget och anser att deras användning av data är förenlig med GDPR.

Vad kom IDPC fram till?

IDPC konstaterade att C-planet, som identifierades som den personuppgiftsansvarige för informationen, behandlade personuppgifterna som offentliggjordes i samband med läckan, i strid med gällande dataskyddslagstiftning. Vidare framförde IDPC att C-planet har underlåtit att vidta lämpliga åtgärder för att garantera en lämplig säkerhetsnivå. C-planets underlåtande var enligt tillsynsmyndigheten det som ledde till intrånget.

Sen anmälan till dataskyddsombud och bristande information till de drabbade registrerade

Utöver det som nämndes ovan hade företaget underlåtit att anmäla incidenten inom den tidsfrist som föreskrivs i lagstiftningen. C-planet missade dessutom att informera de registrerade om att deras data har offentliggjorts i en dataläcka.

Läs mer Här

Källan till uppgifter om valresultat finns Här