DPIA ook bij 'kleine' verwerking - boete van €40.000 voor luchthaven Bologna
De Italiaanse gegevensbeschermingsautoriteit heeft de luchthaven van Bologna een boete van €40.000 opgelegd omdat zij geen passende technische en organisatorische maatregelen had genomen voor een klokkenluidersapplicatie. De luchthaven had nagelaten zowel opgeslagen als verzonden meldingen binnen dat systeem te versleutelen en had geen gegevensbeschermingseffectbeoordeling (DPIA) uitgevoerd.
De voor de verwerking verantwoordelijke gebruikte de klokkenluidersapplicatie "WB confidential" voor de organisatorische verwerving en het beheer van meldingen over onwettig gedrag door zijn werknemers en andere belanghebbenden. De applicatie werd beheerd door een SaaS-leverancier die optrad als een verwerker voor de verwerkingsverantwoordelijke in overeenstemming met artikel 28 GDPR.
De geleverde meldingen konden de identificatiegegevens van de klokkenluider, informatie over de melding en eventuele bijgevoegde documentatie bevatten. Vanwege het beperkte aantal meldingen en verwerkte gegevens besloot de verantwoordelijke voor de verwerking echter geen gegevensbeschermingseffectbeoordeling uit te voeren. Evenzo heeft de verantwoordelijke voor de verwerking besloten de persoonsgegevens die in zijn databank zijn opgeslagen en via het openbare netwerk worden doorgegeven, niet te versleutelen vanwege het "geringe nut" voor derden en de "uiterst geringe waarschijnlijkheid van bedreigingen".
De voor de verwerking verantwoordelijke motiveerde zijn besluit met het argument dat de maatregel van versleuteling alleen van toepassing en adequaat was in gevallen van grote hoeveelheden verwerkte gegevens op specifieke subjectieve gebieden. Voor de implementatie van een dergelijke functionaliteit was de aanschaf van een extra component met onevenredige implementatiekosten vereist. Ook was de technische toegang uitsluitend voorbehouden aan de verwerker, die er geen belang bij had gegevens mee te delen of te verspreiden.
De Italiaanse gegevensbeschermingsautoriteit oordeelde dat de voor de verwerking verantwoordelijke moet voldoen aan het beginsel van integriteit en vertrouwelijkheid van artikel 5, lid 1, onder f), GDPR. Bijgevolg moeten de gegevens worden verwerkt op een manier die een passende beveiliging garandeert, met inbegrip van de bescherming tegen ongeoorloofde verwerking, vernietiging of beschadiging.
De Italiaanse gegevensbeschermingsautoriteit achtte de aard van de uitgewisselde gegevens en de mogelijke verkrijging ervan door derden zeer riskant. In dit verband garandeert een niet-gecodeerde toegang tot het systeem geen passend beveiligingsniveau. De voor de verwerking verantwoordelijke moet passende technische en organisatorische maatregelen treffen, rekening houdend met de stand van de techniek, de aard, de doeleinden en de risico's die aan de verwerking zijn verbonden. Dit omvat het gebruik van cryptografische instrumenten voor zowel het transport als de opslag van gegevens, alsmede het uitvoeren van een effectbeoordeling met betrekking tot de gegevensbescherming. Zolang deze maatregelen niet zijn vastgesteld, is de uitgevoerde verwerking in strijd met artikel 5, lid 1, onder f), GDPR, artikel 25, lid 1, GDPR, artikel 32 GDPR en artikel 35 GDPR.
Met name kan de voor de verwerking verantwoordelijke zijn verantwoordelijkheid niet uitsluiten door naar de verwerker te verwijzen, maar behoudt hij een "algemene verantwoordelijkheid" om eigen maatregelen vast te stellen om aan de gegevensbeschermingsvoorschriften te voldoen.
Vertaald met www.DeepL.com/Translator (gratis versie)
Bron: GDPRhub
Klik hier voor meer informatie