29.11.2021 määras Leedu andmekaitse järelevalveasutus Valstybinė duomenų apsaugos inspekcija 110 000 euro suuruse trahvi autorendiplatvormi Citybee operaatorile UAB Prime Leasing, kuivõrd ettevõte ei olnud võtnud tarvitusele piisavaid GDPR artiklis 32 ette nähtud organisatsioonilisi ja tehnilisi meetmeid.
Üks küberturbeteenuseid pakkuv ettevõte leidis CityBee 110 302 kliendi isikuandmed CSV failina saidilt RaidForums.com, sh autorenditeenuseid kasutanud isikute:
nimed, aadressid, telefoninumbrid, e-posti aadressid, isikukoodid, autojuhilubade numbrid, maksekaartide andmed, jne. Fail oli loodud 27.02. 2018 ning juurdepääs sellele peatati 16.02.2021. Sellest tulenevalt asus järelevalveasutus seisukohale, et rikkumine kestis terve selle ajavahemiku.
Järelevalveasutus tuvastas: ettevõttes puudus infoturbe eest vastutav pädev isik, faili kasutamisest ja muutmisest ei jäänud maha logisid, andmeid säilitati krüpteerimata, faili juurdepääsuparoolid olid nõrga turvalisuse tasemega ning seetõttu kergelt ligipääsetavad ka väheste tehniliste teadmistega isikutele. Lisaks sellele võimaldati kasutajatel luua salasõnu, mis ei vastanud ettevõtte infoturbepoliitikas ette nähtud tasemele. Kõigele eelnevale lisaks ei olnud vastutav töötleja hinnanud riske ega korraldanud riskihaldust ning polnud sellise CSV faili olemasolust isegi teadlik.
Järelevalveasutus leidis, et need puudused kujutavad endast GDPR artiklite 32(1)(a), 32(1)(b) ja 32(1)(d) rikkumist.
Trahvi suuruse määramisel võeti arvesse ka rikkumist raskendavaid asjaolusid – mõjutatud andmesubjektide suurt hulka ning ebaselgust, kui paljud isikud vabalt andmekogule juurdepääsu olid saanud. Samuti pidas järelevalveasutus hooletuseks riskianalüüsi puudumist ning vastutava töötleja automaatset eeldust, et kõik on ju nagunii korras.
Puudujäägid faili turvalisuses põhjustasid isikuandmete konfidentsiaalsuskao. Kuigi andmesubjektidele tekitatud kahju ulatus ei olnud menetluse ajaks veel selgunud, ei välista see kahju tekkimist tulevikus. Vastutava töötleja tegematajätmiste tõttu ei ole selge, kui paljud olid andmetele juurdepääsuvõimalust kasutanud või kui palju oli isikuandmeid levitatud. Samuti polnud selge, kas, mis eesmärgil ning millises ulatuses neid andmeid oli kasutatud.
Leedu isikukoodi avalikustamist keelab seadus. Selle alusel liigub informatsioon erinevate riiklike registrite vahel. Avalikult kättesaadavas CSV failis sisaldusid andmed, mis ei olnud ühegi infotehnoloogilise meetmega kaitstud ning võimaldasid iga isiku üheselt ja otseselt tuvastada.
Kuna isikuandmete hulgas leidusid ka 344 muu EL riigi isikute andmed, tegi Leedu järelevalveasutus oma otsuse koostöös Iirimaa, Saksamaa, Austria, Itaalia, Portugali, Eesti, Belgia, Taani, Madalmaade, Hispaania, Läti, Rootsi, Luksemburgi, Prantsusmaa, Norra, Soome, Slovakkia ja Sloveenia vastavate järelevalveasutustega.
