X'jiġri jekk il-kumpanija/organizzazzjoni tiegħi ma tikkonformax mar-regoli dwar il-protezzjoni tad-data?

Tweġiba

Ir-Regolament Ġenerali dwar il-Protezzjoni tad-Data (GDPR) jipprovdi opzjonijiet differenti lill-Awtoritajiet għall-Protezzjoni tad-Data fil-każ ta' nuqqas ta' konformità mar-regoli dwar il-protezzjoni tad-data:

• il-probabilita ta' ksur — tista' tingħata twissija;
• ksur: il-possibbiltajiet jinkludu twissija, projbizzjoni temporanja jew definittiva fuq l-ipproċessar u multa sa EUR 20 miljun jew 4 % tat-total tal-fatturat annwali dinji  tan-negozju.

Ta' min wieħed jinnota li fil-każ ta' ksur, l-APD tista' timponi multa monetarja minflok, jew flimkien ma' t-twissija u/jew il-projbizzjoni fuq l-ipproċessar.

L-awtorità għandha tiżgura li l-multi imposti f'kull każ individwali jkunu effettivi, proporzjonati u dissważivi. Għandha tqis għadd ta' fatturi bħan-natura, il-gravità u t-tul ta' żmien tal-ksur, il-karattru intenzjonali jew negliġenti tiegħu, kwalunkwe azzjoni meħuda biex timmitiga l-ħsara li sofrew l-individwi, il-grad ta' kooperazzjoni tal-organizzazzjoni, eċċ.

Eżempju

Kumpanija tbigħ materjal domestiku onlajn. Permezz tas-sit elettroniku tagħha, il-konsumaturi jistgħu jixtru apparat tal-kċina, imwejjed, siġġijiet u oġġetti domestiċi oħra billi jdaħħlu d-dettalji tal-bank tagħhom. Is-sit elettroniku sofra minn attakk ċibernetiku li wassal biex id-dettalji personali saru disponibbli għal min wettaq l-attakk. F'dan il-każ, in-nuqqas ta' miżuri tekniċi xierqa mill-kumpanija jidher li kien il-kawża għat-telf tad-data.

F'dan il-każ, l-awtorità superviżorja tqis diversi fatturi  qabel tiddeċiedi x'għodda korrettiva għandha tintuża. Fatturi bħal: kemm kien serju n-nuqqas fis-sistema tal-IT? L-infrastruttura tal-IT kemm kienet ilha esposta għal dan ir-riskju? Twettqu testijiet fil-passat biex jevitaw attakk bħal dan? Kemm kien hemm klijenti li kellhom id-data tagħhom misruqa/żvelata? X'tip ta' data personali ġiet affettwata — kienet tinkludi data sensittiva? Dawn kollha u konsiderazzjonijiet oħrajn se jitqiesu mill-awtorità superviżorja.

Referenzi

• Artikoli 58, 60, 83, 84; Premessi 129, 148, 150, 151
• Artikolu 29 Linji gwida tal-Grupp ta' Ħidma dwar l-applikazzjoni u l-istabbiliment ta' multi amministrattivi għall-finijiet tar-Regolament 2016/679, 3 ta' Ottubru 2017

A company sells online household material. Through its website, consumers can buy kitchen appliances, tables, chairs and other domestic goods by entering their bank details. The website suffered a cyber-attack leading to personal details being rendered available to the attacker. In this case, the lack of appropriate technical measures by the company seems to have been the cause of the data loss.

In this instance, various factors will be considered by the supervisory authority before deciding what corrective tool to use. Factors such as: how serious was the deficiency in the IT system? How long had the IT infrastructure been exposed to such a risk? Were tests carried out in the past to prevent such an attack? How many customers had their data stolen/disclosed? What type of personal data was affected – did it include sensitive data? All these and other considerations will be taken into account by the supervisory authority.

• Articles 58, 60, 83 and 84 and Recitals (129), (148), (150) and (151) of the GDPR
• EDPB Guidelines on the application and setting of administrative fines for the purposes of Regulation (EU) 2016/679, 3 October 2017