Pirmo GDPR sodu Itālijas datu aizsardzības iestāde Garante noteikusi par privātuma drošības pasākumu neīstenošanu pēc datu pārkāpuma Pieczvaigžņu kustības (Movimento 5 Stelle) digitālajā blokķēdes tehnoloģijas balsošanas platformā Rousseau, kurā partijas atbalstītāji bieži tiek lūgti balsot par svarīgiem lēmumiem un arī ierosināt likumus.
Vairākas tīmekļa vietnes, kas saistītas ar Itālijas politisko partiju Pieczvaigžņu kustības, tiek darbinātas izmantojot datu apstrādātāju - platformu Rousseau. 2017. gada vasarā platformā notika datu pārkāpums, pamatojoties uz šo Itālijas Garante, papildus pienākumam atjaunināt paziņojumu par personas datu aizsardzību, lai nodrošinātu veikto datu apstrādes darbību pārredzamību, pieprasīja īstenot vairākus drošības pasākumus.
Datu apstrādātāja ignorētie drošības pasākumi
Itālijas datu aizsardzības iestāde pauž bažas par to, ka Rousseau platformā nav veikti šādi ar datu aizsardzību saistīti drošības pasākumi:
- tika veikts periodisks platformas datu apstrādes ietekmes novērtējums, bet saskaņā ar Garante informāciju netika novērstas problēmas, kas saistītas ar vecas programmatūras, kuru izstrādātājs vairs neatjaunināja, jo ielāpu ieviešana būtu sarežģīta un laikietilpīga, izmantošana;
- nav izveidota sistēma, kuras mērķis ir stiprināt kontu izveides paroles, nodrošinoties pret vardarbīgu uzbrukumu risku;
- drošus protokolus un digitālos sertifikātus, lai aizsargātu un samazinātu risku datus pārsūtīšanas laikā un samazinātu riskus lietotājam, ko var izraisīt viltotas vietnes;
- risinājumi, kuru mērķis ir palielināt paroļu glabāšanas drošības līmeni vājo kriptogrāfisko algoritmu dēļ;
- joprojām neatrisināts jautājums ir auditācijas pieraksti, kuru mērķis ir saglabāt reģistrēto piekļuves un darbību uzskaiti (log ieraksti) Rousseau sistēmas datubāzē, lai garantētu datu integritāti un vismaz veikto darbību kontroli.
Būtiska problēma ir tajā, ka netika veikti pasākumi, kas saistīti ar IT atbalsta personāla veikto darbību logfailu glabāšanu. Atbalsta personāla piekļuves izsekojamība tika nodrošināta tikai dažām lapām. Tāpat netika nodrošināta veikto darbību uzskaite.
Papildu iepriekšējam Garante apstrīd, ka sistēmas administratori platformas darbībā izmanto koplietojamus kontus ar salīdzinoši lielām privilēģijām. Šis apstāklis ir būtisks arī saistībā sistēmu administratoru iespēju piekļūt īpašām personas datu kategorijām, piemēram, par politisko viedokli.
Visbeidzot, arī drošības pasākumi, kuru mērķis ir anonimizēt darbības, kas veiktas, izmantojot e-balsošanas sistēmu, tika uzskatīti par neadekvātiem.
Naudas sods par datu pārkāpumu
Saistībā ar iepriekš uzskaitīto Garante uzskatīja, ka ir pārkāpts GDPR 32. pants, jo Rousseau platformai trūkst atbilstošu tehnisku un organizatorisku pasākumu, un noteica naudas sodu 50,000 eur apmērā.
Interesanti, ka sods ir vērsts nevis pret politisko partiju Pieczvaigžņu klustība, kas ir platformas datu pārvaldnieks, bet gan pret asociāciju Rousseau, kas ir datu apstrādātājs. Pirmo reizi kāda no datu aizsardzības iestādēm neuzskatīja, ka datu pārzinis ir atbildīgs par datu apstrādātāja veikto, un atzina, ka datu apstrādātājs varētu būt atbildīgs arī bez datu pārziņa atbildības. Turklāt šis lēmums, sniedz precīzāku izpratni par drošības pasākumiem, ko personas datu aizsardzības institūcijas sagaida attiecībā uz sistēmām, kas apstrādā liela apjoma personas datus. Pamatojoties uz šo, jāatceras, ka GDPR, ņemot vērā izsekojamības principu, pieprasa, lai datu pārzinis veic novērtējumu par izmantoto drošības pasākumu piemērotību.
Tāpat jāpievērš uzmanība tam, ka Itālijas uzraudzības iestāde šo sodu piemēroja procesam, kas tika uzsākts pirms 2018.gada maija, pamatojoties uz vēlāku rīkojumu, jo digitālajā blokķēdes tehnoloģijas balsošanas platforma Rousseau netika veikusi pieprasītos drošības uzlabojumus. Tas nozimē, ka ir precedents, kas gadījumiem, kur tiesvedība vēl joprojām turpinās ir iespējama soda piemērošana saskaņā ar ES Vispārējo datu aizsardzības regulu.
.