Andmekaitseuudised

GDPRGDPR nõuete rikkumine Soomes

GDPR nõuete rikkumine Soomes

Postitatud

Soome andmekaitse järelevalveasutus Tietosuojavaltuutetun toimisto tuvastas isikuandmetega seotud rikkumise, mis võimaldas häkkeritele ebaseadusliku juurdepääsu 165 000 isiku andmetele – vastutav töötleja oli eiranud nii andmete minimaalse säilitamise põhimõtet kui ka jätnud kasutusele võtmata asjakohased turvameetmed, mis võinuks rünnakut takistada.

Häkkerid tungisid ööbimisteenuse pakkuja Forenom  (https://www.forenom.com/about/) infosüsteemidesse ning said seeläbi juurdepääsu klientide andmetele.

Järelevalveasutus sekkus andmesubjektide kaebuste põhjal.

Forenom (kui vastutav töötleja) selgitas, et omaniku ja üürniku andmeid hoitakse 10 aastat alates üürisuhte või lepingu lõpust. Vastutav töötleja kirjeldas, et pikaajalised korterite üürilepingud on nende äri oluline osa, mistõttu on oluline säilitada andmeid võimalike õigusnõuete puhuks. Vastavalt Soome raamatupidamisseadusele võib nõudeid esitada 10 aasta jooksul. Tähtaja lõppemisel andmed kustutatakse või anonüümitakse.

Järelevalveasutus asus seisukohale, et vastutav töötleja ei toiminud kooskõlas andmete minimaalse töötlemise ning säilitamispiirangu põhimõtetega. Mitte kõik majutuse ja üürilepingutega seotud isikuandmed ei ole raamatupidamisseaduse kohaldamisalas.

Vastutav töötleja ei suutnud piisavalt selgelt isikuandmete 10 aastast säilitustähtaega põhjendada.

Järelevalveasutus rõhutas samuti, et rakendama peab asjakohaseid tehnilisi ja organisatsioonilisi meetmeid, et võimalikele õigusnõuetele reageerimiseks säilitatakse vaid selleks otseselt vajalikke andmeid. See nõue ei puuduta mitte ainult kogutavate andmete hulka vaid ka säilitamise tähtaega.

Järelevalveasutus leidis, et vastutav töötleja polnud hinnanud isikuandmete säilitamise riske ega ei võtnud tarvitusele sobivaid tehnilisi ja organisatsioonilisi meetmeid nende riskide leevendamiseks.

Seega rikkus vastutav töötleja GDPR artikleid 5(1)(c) (võimalikult väheste andmete kogumine) ja (e) (säilitamisaja piirang), 25(2) (lõimitud ja vaikimisi andmekaitse), 32(1)(d) and 32(2) (turvalisus).

Artikli kirjutamisel kasutatud allikas:

https://finlex.fi/fi/viranomaiset/tsv/2023/20231763

Kategooriad: GDPR