Data Protection Commission (DPC) har utfärdat en sanktionsavgift på 15 000 euro mot A&G Couriers Limited T/A för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att ärendet gäller A&G Couriers, ett företag som tillhandahåller kurirtjänster (den personuppgiftsansvarige), som anlitat en tredje part som utförde en IT-mjukvaruentreprenad (entreprenören) för att genomföra ett Brexit-projekt. Projektet syftade till att ge den brittiska skattemyndigheten (Her Majesty’s Revenue & Customs, HMRC) tillgång till deras interna rapporteringssystem för att underlätta deklarationer av tullar och moms.
Entreprenören påbörjade arbetet med att underlätta tillgången till rapporterna för extern granskning varpå den server som innehöll alla data exponerades på internet. Händelsen inträffade då entreprenören gjort otillräckliga kontroller av säkerhetsuppdateringar, användarrestriktioner och åtkomstkontroller, felaktigt implementerat konfigurationen av den berörda servern, och oavsiktligt angett fel IP-adress för den berörda servern.
Under sammanlagt två dagar var servrarna, som innehöll sammanlagt 446 143 personers okrypterade personuppgifter, allmänt tillgängliga. Personuppgifterna omfattade personernas namn, hemadresser, e-postadresser och mobilnummer. Dessutom fick en okänd person tillgång till den utsatta servern varpå denne hämtade ut personuppgifter om sammanlagt 10 000 registrerade personer.
I sina inlagor till AEPD redogjorde A&G Couriers för händelsen och framförde ett antal argument för sitt försvar. För det första hävdade A&G Couriers att företaget, beroende på de specifika uppgifterna, i vissa fall var personuppgiftsansvarig och i andra fall personuppgiftsbiträde, och att skyldigheten att vidta lämpliga åtgärder därför inte åvilade företaget under alla omständigheter.
För det andra hävdade A&G Couriers att servrarna, beroende på kundens krav, innehöll några eller alla av följande kategorier av personuppgifter: namn, hemadresser, e-postadresser och mobilnummer. A&G Couriers menade att de risker som företagets behandling innebar vid tidpunkten för personuppgiftsincidenten vid en objektiv bedömning innebar låga till måttliga risker, både i fråga om sannolikhet och allvar, för de registrerades rättigheter och friheter. A&G Couriers medgav att det fanns en betydande mängd personuppgifter om ett stort antal registrerade som behandlades och lagrades under en period av trettio dagar av företaget, men att dessa personuppgifter enligt A&G Couriers bör anses ligga i den nedre delen av skalan när det gäller känslighet.
I sitt slutgiltiga beslut behandlade DPC de två punkter som A&G Couriers tagit upp, innan myndigheten redogjorde för sina slutsatser om de tekniska och organisatoriska säkerhetsåtgärder som fanns på plats vid tidpunkten för överträdelsen.
För det första, när det gäller frågan om huruvida A&G Couriers ska betraktas som personuppgiftsansvarig eller personuppgiftsbiträde, ansåg DPC att skyldigheten att genomföra lämpliga tekniska och organisatoriska åtgärder enligt artikel 32.1 GDPR gäller lika för personuppgiftsansvariga och personuppgiftsbiträden. Eftersom A&G Couriers identifierade sig själv som innehavare av någon av dessa roller med avseende på personuppgifterna gäller skyldigheten att följa artikel 32.1 GDPR under alla dessa omständigheter.
För det andra, när det gäller kategorierna av personuppgifter och risken för de registrerades rättigheter och friheter, i enlighet med artikel 32.1 (d) GDPR och mot bakgrund av skyldigheten att regelbundet utvärdera de tekniska och organisatoriska åtgärdernas effektivitet, är det uppenbart att A&G Couriers borde ha genomfört en riskbedömning innan han eller hon inledde processen med att se över åtkomsten till sin interna server inom ramen för Brexitprojektet. Detta skulle ha gjort det möjligt för A&G Couriers att identifiera eventuella risker som uppstår till följd av denna specifika ändring av systemet. Underlåtenheten att göra detta ökade sannolikheten för en risk för de registrerades rättigheter och friheter. Att ha ett brådskande projekt tillåter inga undantag från skyldigheten att genomföra lämpliga säkerhetsåtgärder och att följa de riktlinjer och förfaranden som har införts.
För det tredje, när det gäller frågan om tekniska åtgärder, konstaterade DPC att de lagrade personuppgifterna vid tidpunkten för personuppgiftsincidenten inte var krypterade och att säkerhetskontrollerna inte var utformade med hänsyn till möjligheten att de berörda uppgifterna skulle kunna ses av en extern enhet. På grund av förändringen av de parter som rapporteringssystemet var exponerat för borde de nya riskerna i samband med en sådan förändring först ha bedömts. Följaktligen borde riskanpassade åtgärder som kryptering och omfattande förfaranden för åtkomstkontroll ha genomförts före personuppgiftsincidenten. A&G Couriers bekräftade i detta avseende att riskbedömningen av ändringarna i systemen inte genomförts och att lämpliga åtgärder för att minska riskerna inte vidtagits.
För det fjärde och sista konstaterade DPC att organisatoriska åtgärder inte vidtagits. I detta sammanhang konstaterades att i strid med A&G Couriers befintliga riktlinjer och förfaranden vid tidpunkten för personuppgiftsincidenten hade systemändringarna godkänts muntligt av en medlem av den personuppgiftsansvariges IT-team och utan godkännande av företrädaren för data- och informationssäkerhet. Dessutom påverkade avsaknaden av riskbedömning negativt A&G Couriers förmåga att identifiera och erkänna de risker som var förknippade med denna förändring. Därför ansåg DPC att de organisatoriska åtgärder som A&G Couriers genomförde inte var lämpliga eftersom de inte följde dess egna dataskyddspolicyer och dataskyddsförfaranden. DPC konstaterade också att det saknades kontroller för att se till att personalen följde dessa riktlinjer och förfaranden fullt ut.
Mot bakgrund av ovanstående tilldelades A&G Couriers en reprimand med avseende på överträdelsen och betonade kravet på att vidta alla relevanta åtgärder för att säkerställa kontinuerlig och framtida efterlevnad av artikel 32 GDPR. DPC har också utfärdat en sanktionsavgift på 15 000 euro för A&G Couriers.