Prantsusmaa isikuandmete järelevalveasutus CNIL (Commission nationale de l’informatique et des libertés) määras 27.01.2021.a GDPR nõuete rikkumise eest 150 000 eurot trahvi e-kauplusele kui vastutavale töötlejale ja 75 000 eurot trahvi nende veebilehe teenusepakkujale kui volitatud töötlejale.
CNIL, kes seni on keskendunud pigem ainult vastutavate töötlejate sanktsioneerimisele, asus sel korral seisukohale, et ka asjasse puutuvaid volitatud töötlejaid saab turvanõuete rikkumiste eest karistada.
CNIL rõhutab, et ka volitatud töötlejal on oluline oma kliendiga lepingutingimused täpselt läbi rääkida, sh määrata kindlaks volitatud töötleja kohustused turvaintsidendi korral. Vastutava ja volitatud töötleja vaheline leping ei tohi jääda formaalsuseks, vaid peab jaotama ära konkreetsed kohustused.
Antud juhtumil a) sattusid kontovarguse (credential stuffing) tagajärjel häkkerite valdusse e-kaupluse klientide sisselogimisandmed ja b) nendesamade salasõnade abil sooritati (robot)ründeid veebilehele.
Ajavahemikul juunist 2018 kuni jaanuarini 2020 raporteeriti CNIL-le mitukümmend isikuandmetega seotud rikkumist. Seetõttu otsustas CNIL kontrollida nii e-kauplust ennast kui ka veebiteenuse pakkujat. CNIL hinnangul oli mõlemal turvameetmete kasutuselevõtus puudujääke. Kontovarguse blokeerimiseks vajaliku arenduse tegemine venis aasta aega ning selle aja jooksul said häkkerid juurdepääse ligikaudu 40 000 kliendi isikuandmetele.
CNIL asus seisukohale, et mõlemad – nii vastutav kui ka volitatud töötleja – rikkusid GDPR artiklis 32 sätestatud nõudeid. CNIL rõhutas, et kuigi vastutav töötleja peab määrama turvameetmed ning juhendama vastavalt ka volitatud töötlejat, peab see ka ise võtma kasutusele turvalisuse tagamiseks sobivaid tehnilisi ja organisatsioonilisi meetmeid ning andma neist vastutavale töötlejale teada.
Otsuses selgitab CNIL volitatud töötlejate rolli ning nende GDPR artiklist 32 tulenevaid kohustusi. Volitatud töötleja peab samuti aktiivsust üles näitama ega või piirduda ainult vastutava töötleja ettekirjutuste täitmisega, iseäranis juhtudel kui juba on toimunud mitmeid turvaintsidente.
GDPR artikkel 24 seab vastutavale töötlejale kohustuse rakendada asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada ja suuta tõendada isikuandmete töötlemist kooskõlas GDPR-ga. Artikkel 28 kohustab vastutavat töötlejat kasutama ainult selliseid volitatud töötlejaid, kes rakendavad asjakohaseid tehnilisi ja korralduslikke meetmeid selliselt, et töötlemine vastab GDPR nõuetele. Hindamine toimub vastutava töötleja hoolsuskohustuse raames.
GDPR artiklis 32 sisalduv turvalise töötlemise kohustus kehtib otseselt ka volitatud töötlejatele. Artikkel 32 ei sisalda etteantud turvameetmete nimekirja, vaid jätab töötlemistoimingute eripärast tuleneva meetmete valiku vastutava ja volitatud töötleja otsustada ja teha.
Vastutava ja volitatud töötleja vaheline leping, mis tuleb GDRP artikli 28 lõike 3 punkti c alusel sõlmida, peab sätestama volitatud töötleja kohustuse võtta tarvitusele artiklis 32 sätestatud meetmed. Meetmete loetelu ja detailsuse aste lepingutes võib olla erinev vastavalt töötlemise iseloomule. Vastutaval töötlejal on ka artiklis 28 lõike 3 punktist f tulenev kohustus aidata volitatud töötlejat artiklitest 32 -36 tulenevate kohustuste täitmisel.
Märkimisväärsed turvaintsidendid veebipoodide kliendiandmetega ei ole tundmatud ka Eestis. Äsja toimus andmeleke Mineral Garden’i veebipoes, 2019 lekkisid veebikaupluse Charlot kliendiandmed:
