Blog

(Leestijd: 3 - 6 minuten)

boete lithouwen

Een boete als krachtig signaal

De Inspectie voor de Gegevensbescherming van Litouwen heeft een administratieve boete opgelegd van Є 61.500 voor overtredingen van de Algemene Verordening Gegevensbescherming (AVG). De sancties werden opgelegd aan MisterTango UAB wegens inbreuken op de artikelen 5, 32 en 33 van de voornoemde verordening, d.w.z. de inbreuk in verband met persoonsgegevens in het betalingsinitiatiedienstsysteem, die onder meer ook niet aan de toezichthoudende autoriteit is gemeld. Naar de mening van de inspectie moet het begin van het opleggen van geldboeten krachtens de Algemene Verordening Gegevensbescherming een belangrijk signaal zijn voor andere bedrijven die slechts declaratief voldoen aan de bepalingen van de bovengenoemde rechtshandelingen.

Coördinatie met andere toezichthoudende autoriteiten in andere landen

De Inspectie voor de Gegevensbescherming (Autoriteit) voerde een onderzoek uit en legde een boete op, rekening houdend met de ontvangen informatie over de persoonlijke gegevens van bankklanten die openbaar werd gemaakt en de mogelijk gepleegde inbreuk op de persoonsgegevens bij MisterTango UAB. Het bedrijf is internationaal actief en biedt betalingsdiensten aan de inwoners en bedrijven van Litouwen en aan buitenlandse ingezetenen en bedrijven. Het heeft een filiaal in Letland opgericht, heeft diensten in andere landen verleend. De Litouwse toezichthoudende autoriteit die haar besluit met de Letse toezichthoudende instantie voor de bescherming van persoonsgegevens heeft gecoördineerd overeenkomstig de bepalingen van de Algemene Verordening Gegevensbescherming, kreeg de gelegenheid om een bevestiging te krijgen van de juistheid van de gemaakte conclusies van haar collega's. Deze zaak toont ook aan dat bedrijven meer aandacht moeten besteden aan het beheer van datalekken en samenwerking met de toezichthoudende autoriteit in de loop van het onderzoek.

AVG overtreding

Na het onderzoek te hebben uitgevoerd, heeft de inspectie vastgesteld dat het bedrijf de vereisten van de AVG heeft overtreden omdat het persoonsgegevens op een onjuiste manier heeft verwerkt in screenshots (SS), persoonlijke gegevens openbaar beschikbaar heeft gesteld en de schending van persoonsgegevens niet aan de autoriteit persoonsgegevens heeft gemeld.

Overtreding: onjuiste verwerking van persoonsgegevens

In het licht van de tijdens het onderzoek verzamelde informatie en de verstrekte toelichtingen, is vastgesteld dat MisterTango UAB meer persoonsgegevens verwerkt (verzamelt) dan het aangeeft dat dit noodzakelijk is voor het tot stand brengen van de door de betaler zelf geïnitieerde betaling. De inspectie is van mening dat, met het oog op de toepassing van het beginsel van gegevensminimalisatie, alleen gegevens zoals naam, achternaam en, indien de betaler dat wenst, zijn / haar identificatiecode, bankrekeningnummer, valuta en saldo, doel van de betaling / de betalingscode die nodig is voor het uitvoeren van de betaling, moet worden verzameld.

Meer informatie dan nodig, én zonder toestemming

Naast bovengenoemde gegevens verzamelde het bedrijf echter ook dergelijke gegevens als:

  • leveringsdata van niet-beoordeelde elektronische facturen
  • namen van de afzenders en bedragen
  • onderwerpen van indienen van niet-gelezen kennisgevingen en een deel van de tekst van de kennisgeving
  • bedragen van de leningen
  • namen van de pensioenfondsen
  • geaccumuleerde eenheden, waarde daarvan, geaccumuleerde bedragen
  • soorten kredieten (bijvoorbeeld hypothecair krediet), verschuldigde saldi, bedragen en data van andere betalingen, nummers van de uitgegeven betaalkaarten en bedragen in dergelijke betaalkaarten die moeten worden beschouwd als overtollige gegevens.

Bewaartermijn overschreden

Verder is vastgesteld dat het bedrijf dergelijke gegevens langer opslaat dan het zelf heeft vastgesteld en aangegeven als noodzakelijk, d.w.z. de tijdens het onderzoek verschafte gegevens suggereren dat de gegevens gedurende 216 dagen in plaats van 10 minuten waren opgeslagen.

Accountability niet voldoende

Volgens artikel 5 van de AVG is het bedrijf verantwoordelijk voor en kan het aantonen dat het verantwoordingsbeginsel wordt nageleefd; desondanks heeft het bedrijf tijdens het onderzoek niet voldoende bewijsmateriaal aan de toezichthoudende autoriteit verstrekt.

Overtreding: publiceren van persoonsgegevens

Tijdens het onderzoek is vastgesteld dat de website met de lijst met betalingen verwerkt door MisterTango UAB langer dan 2 dagen zichtbaar was (9-10 juli 2018). De betalingen door de klanten van verschillende bankinstellingen via het betalingsinitiatiedienstsysteem van MisterTango UAB en persoonlijke gegevens van dergelijke klanten werden openbaar gemaakt.

Screenshots
Daarnaast werden meer dan 9.000 SS'en met de pagina's met details van de betalingssessies van de klanten van 12 verschillende banken in verschillende landen openbaar gemaakt.

Medewerker voldeed aan tegenstrijdige functies
Verder is vastgesteld dat beheer, installatie en onderhoud van de IT-infrastructuur (hardware en software) van MisterTango UAB door één medewerker zijn uitgevoerd. Eén medewerker voldeed aan de tegenstrijdige functies. Dientengevolge waren een juiste minimalisatie van mogelijke ongeoorloofde of onopzettelijke wijzigingen en implementatie van een degelijk beleid voor de bescherming van persoonsgegevens niet gewaarborgd.

Geen passende technische of organisatorische maatregelen getroffen
MisterTango UAB heeft dus nagelaten de passende technische of organisatorische maatregelen te kiezen die zouden helpen om een beveiligingsniveau te waarborgen dat geschikt is voor het risico, inclusief bescherming tegen onrechtmatige verwerking, openbaarmaking en dus overtreding van de artikelen 5 en 32 van de AVG.

Geen kennisgeving van de inbreuk

Volgens de AVG is een incident dat leidt tot de accidentele of onwettige vernietiging, verlies, wijziging, ongeautoriseerde openbaarmaking van of toegang tot, persoonlijke gegevens verzonden, opgeslagen of anderszins verwerkt, een inbreuk op de persoonsgegevens. Vanuit het oogpunt van de inspectie zou het voornoemde incident waarbij ongeautoriseerde personen gedurende 2 dagen toegang hebben gekregen tot persoonlijke gegevens op internet moeten worden beschouwd als een datalek die moet worden gemeld aan de toezichthoudende autoriteit. Daarom was MisterTango UAB verplicht om zonder onnodig uitstel en, indien mogelijk, uiterlijk 72 uur na kennis te hebben genomen van de inbreuk in verband met persoonsgegevens, de inbreuk in verband met persoonsgegevens aan de inspectie melden. Aangezien MisterTango UAB de inspectie niet op de hoogte heeft gesteld van de overtreding, heeft zij artikel 33 van de AVG overtreden.

Bepalen hoogte boete

Bij het bepalen van de hoogte van de bestuurlijke boete heeft de inspectie rekening gehouden met alle omstandigheden die relevant zijn voor het uitbreiden van de aansprakelijkheid naar MisterTango UAB, bijvoorbeeld:

  • dat het bedrijf de persoonsgegevens op een niet-transparante manier verwerkte
  • persoonsgegevens in grotere mate en langer dan nodig was had opgeslagen dan voor het bereiken van het doel van de verwerking
  • de onwettige verwerking werd systematisch gedaan
  • het heeft niet gezorgd voor de beveiliging van de persoonsgegevens op het moment van de inbreuk in verband met persoonsgegevens
  • heeft de geconstateerde inbreuk in verband met persoonsgegevens niet gemeld en had een impact op de persoonsgegevens waardoor de betrokkene rechtstreeks kon worden geïdentificeerd
  • bovendien vormden de gegevens het bankgeheim en werden ze zonder versleuteling verwerkt en tijdens de periode van de inbreuk in verband met persoonsgegevens werden de gegevens verwerkt zonder de toegang tot dergelijke gegevens te controleren.

Bij het opleggen van de bestuurlijke boete van Є 61.500, werd de totale jaarlijkse wereldwijde omzet van de onderneming in aanmerking genomen. De beslissing van de inspectie is niet effectief en kan tegen de rechter worden aangevochten.

Overige landen die boetes reeds hebben opgelegd

Volgens de gegevens waarover de inspectie beschikt, hebben Frankrijk, Spanje, Duitsland, Polen, Oostenrijk, Bulgarije, Cyprus en Malta al aanzienlijke boetes opgelegd krachtens de AVG.

Bron: EDBP

Image source