Hispaania andmekaitse järelevalveasutus Agencia Española de Protección de Datos (AEPD) määras 27.12.2023 telekommunikatsiooniettevõttele Phone House Spain (https://www.phonehouse.es/) turvanõuete rikkumise eest  6 500 000 euro suuruse trahvi.

Telekomiettevõte esitas järelevalveasutusele rikkumisteate, mille kohaselt hõlmas küberrünne 13 000 000 inimese andmeid. Ründajad laadisid maha tema klientide, endiste klientide, äripartnerite ja töötajate isikuandmeid sisaldava andmebaasi ning avaldasid selle veebis.

Isikuandmete hulgas olid nimed, isikukoodid, postiaadressid, e-posti aadressid, mobiilinumbrid, rahvus, sugu, sünnikuupäevad, pangaarve numbrid ning töösuhete andmed, mis kõik olid  nn. plain text – pseudonüümimata ning anonüümimata.

Vastutav töötleja väitis, et oli võtnud kasutusele piisavad meetmed, kuid ründe ärahoidmine osutus võimatuks. Vastutava töötleja arvates puudus küberründe ja tarvitusele võetud turvameetmete vahel seos, kuna ka märksa tugevamad meetmed ei oleks suutnud rünnet ära hoida. Seega puudus ründe ja meetmete vahel põhjuslik seos. Vastutav töötleja nägi ennast rünnaku ohvrina. Samuti leidis vastutav töötleja, et iga süsteem puhul on arenguruumi ning GDPR art5 (1) f ei saa tõlgendada selliselt, et saavutada tuleb ette kindlaksmääratud tulemus.

AEPD leidis, et tegu on siiski artikli 5(1)(f) rikkumisega. Kuna vastutav töötleja vastutab antud juhul väga suure hulga isikuandmete eest, oleks ta pidanud rünnakut ette nägema ning võtma kasutusele küberrünnet ära hoida võimaldavad meetmed.

Lekkinud andmete ning andmesubjektide hulka luges järelevalveasutus raskendavaks asjaoluks. AEPD märkis, et 2018.a. esitatud andmekaitsealane mõjuhinnang oli välja toonud justnimelt neid puudujääke, mis 2021. aastal rikkumist soodustasid. AEPD arvates näitas nende probleemide 2 aasta jooksul lahendamata jätmine vastutava töötleja hooletut suhtumist.

Pehmendav oli AEPD arvates asjaolu, et vastutav töötleja intsidendist nõuetekohaselt teavitas ning ise sellest mingit kasu ei saanud.

Vastutav töötleja sai artikli 5(1)(f) rikkumise eest 4 000 000 eurot ning artikli 32 rikkumise eest 2 500 000 eurot trahvi.

Artikkel 32 kohustab isikuandmete töötlejat võtma ohule vastava turvalisuse tagamiseks tarvitusele asjakohaseid tehnilisi ja korralduslikke meetmeid, mis arvestavad teaduse ja tehnoloogia viimast arengut ja rakendamise kulusid ning isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke, samuti erineva tõenäosuse ja suurusega ohte füüsiliste isikute õigustele ja vabadustele. Artikkel 32 ei sisalda andmete kaitseks vajalike meetmete ammendavat loetelu.

Allikas:

https://www.aepd.es/documento/ps-00084-2023.pdf