Globa je bila izrečena zaradi kršitve člena 32. GDPR, ki določa varnost obdelave osebnih podatkov. Kršitelj ni v zadostni meri zagotovil zahtevam varnosti obdelave osebnih podatkov.
V konkretni zadevi je zanimivo, da je bila globa izrečena pogodbenemu obdelovalcu in ne upravljavcu osebnih podatkov. Italijanska politična stranka Movimento 5 Stelle je v tem primeru upravljavec osebnih podatkov in za svoje delovanje uporablja spletno orodje z imenom Rousseau preko katerega obdeluje osebne podatke svojih članov. Navedeno spletno orodje je že leta 2017 doživelo incident – vdor. Po incidentu je italijanski nadzorstveni organ upravljavcu spletnega orodja Rousseau naložil popravljalne ukrepe s področja varnosti, vendar je ob ponovnem pregledu ugotovil, da jih upravljavec spletnega orodja Rousseau ni v celoti izpolnil. Ugotovljeno je bilo, da pri upravljanju in delovanju spletnega orodja Rousseau niso bila jasno dodeljena pooblastila dostopov administratorjev orodja, da niso bile v celoti zagotovljene revizijske sledi dostopov in da so sistemski administratorji orodje administrirali tako, da so za vstop in svoja opravila uporabljali enak uporabniški račun.
Ker so osebni podatek o politični pripadnosti v skladu z GDPR opredeljeni, kot osebni podatki posebnih vrst, tako kot npr. podatki o zdravstvenem stanju posameznika, biometrični podatki, podatki o spolni usmerjenosti, je za te podatke potrebno zagotoviti višjo stopnjo varovanja, kot v primerih, ko gre za obdelavo osebnih podatkov, kine spadajo v kategorija osebnih podatkov posebne vrste.
V kolikor ste upravljavec ali obdelovalec osebnih podatkov posebnih vrst bodite še posebej pozorni, da je področje varstva osebnih podatkov urejeno in da sledite organizacijskim in tehničnim zahtevam, ki zagotavljajo ustrezen nivo varnosti pri obdelavi osebnih podatkov. V kolikor potrebujete pomoč vam z veseljem pomagamo na vaši poti do doseganja in vzdrževanja skladnosti na področju varstva osebnih podatkov. Naš kontakt je info@dataofficer.si ali telefon: 041 314-400.
