GDPR: Franța sancționează o companie cu 400.000 euro pentru nerespectarea obligațiilor privind protecția datelor și a stocării

Franța, iunie 2019: autoritatea privind protecția datelor din Franța (CNIL), a amendat compania Sergic cu 400.00 euro pentru nerespectarea drepturilor privind protecția datelor cu caracter personal și a modalității de stocare a datelor personale.

Dacă vrei să afli mai multe despre GDPR, citește în 20 minute Ghidul nostru gratuit.

Pe scurt

SERGIC este o companie specializată în dezvoltarea imobiliară, cumpărarea, vânzarea, închirierea și administrarea proprietății (property management). Pentru a-și desfășura activitatea, aceasta are un site, www.sergic.com. Acest site permite persoanelor interesate să închirieze să descarce documentele necesare pentru întocmirea dosarului de înscriere.

În august 2018, CNIL a primit o plângere de la un utilizator prin care acesta afirma că putea accesa, din contul lor personal de pe site, documentele salvate de alți utilizatori doar prin modificarea URL-ului afișat în browser. O verificare online derulată pe 7 septembrie 2018 a descoperit că documentele transmise de candidați pentru operațiunile de închiriere putea fi accesate în mod public, fără o autentificare prealabilă. Aceste documente includeau copii de pe cărțile de identitate, carduri de sănătate, decizii de plată, certificate emise de notari, hotărări de divorț, conturi bancare sau alte informații în legătură cu băncilePractic, extrem de multe date personale și totodată confidențiale, nu mai spunem că erau sensibile (nota redacției).

Chiar în ziua controlului, CNIL a alertat compania asupra existenței acestei breșe de securitate și a încălcării în consecință a datelor cu caracter personal. Câteva zile mai târziu, s-a efectuat o inspecție la fața locului, la sediul companiei. Cu această ocazie, a devenit evident că societatea era conștientă de vulnerabilitate din martie 2018 și că, dacă s-ar fi apucat să implementeze măsuri de securitate, acestea ar fi devenit aplicabile și eficiente doar începând cu data de 17 septembrie 2018, ulterior controlului.

Citește AICI despre cum se deșfășoare inspecțiile în România privind GDPR.

Care au fost încălcările?

Pe baza investigațiilor efectuate, CNIL a constatat două încălcări ale Regulamentului general privind protecția datelor (GDPR).

Nu au fost respectate/implementate măsuri de securitate adecvate

Societatea SERGIC nu și-a îndeplinit obligația de a păstra securitatea datelor personale ale utilizatorilor site-ului său, prevăzute în articolul 32 din GDPR. Compania nu a avut o procedură de autentificare a utilizatorului pentru site, pentru a se asigura că persoanele care accesează documentele au fost cele care s-au înregistrat inițial pentru a le descărca, chiar dacă acest lucru este privit ca o măsură elementară de securitate. Această breșă a fost agravată, pe de o parte, de natura datelor puse la dispoziție (extrem de personale – n.n) și, pe de altă parte, de lipsa de diligență a societății în corectarea acesteia: vulnerabilitatea nu a fost corectată definitiv decât după 6 luni și nu au fost luate măsuri de urgență pentru a limita impactul vulnerabilității.

Lipsa unei perioade relevante pentru stocarea datelor

Societatea a păstrat pentru o perioadă nedeterminată în baza activă toate documentele transmise de către candidați dincolo de timpul necesar pentru alocarea locuințelor (conform GDPR, unul din principiile fundamentale este prelucarea și, respectivl, stocarea la minimul necesar – altfel spus, nu prelucrăm și nu ținem datele mai mult decât ne este necesar pentru a ne atinge scopurile sau ne este impus de lege).

CNIL a reamintit că perioada de păstrare a datelor cu caracter personal trebuie stabilită în funcție de scopul prelucrării. Atunci când acest scop (de exemplu, gestionarea aplicațiilor) este atins și că niciun alt scop nu justifică conservarea datelor în baza activă, datele trebuie fie să fie suprimate, fie să fie arhivate într-o manieră intermediară dacă stocarea este necesară pentru respectarea cerințelor legale sau pentru a preîntâmpina/a exercita un drept în instanță. În acest caz, datele trebuie plasate într-un fel de arhivare intermediară (encryption at rest), de exemplu într-o bază de date separată. Din nou, durata acestei arhivări trebuie să fie limitată la ceea ce este strict necesar.

Stabilirea amenzii

CNIl a sancționat Sergic cu 400.000 euro. Autoritatea a luat în considerare a gravitatea încălcării, lipsa de diligență a societății în abordarea vulnerabilității și faptul că documentele accesibile au relevat aspecte foarte intime ale vieții oamenilor. Totodată, a ținut cont și de mărimea companiei și de dimensiunea ei financiară.


Avem cea mai mare resursă disponibilă gratuit despre GDPR.

Dar am scris și un manual drăgut, de 290 pagini, în care explicăm pas cu pas tot ce trebuie să știi ca să fii conform și să te aliniezi legislației. Cumpără-l de pe eMag.

Comment

This post doesn't have any comment. Be the first one!

hide comments
Follow
...
Back

Your cart

0

No products in the cart.

Total
0,00 lei
Checkout
Empty

This is a unique website which will require a more modern browser to work!

Please upgrade today!

Dacă vrei să nu mai cauți

Îți livrăm tot ce e nou la noi direct la tine în inbox.
VREAU
close-link
Our site uses cookies. Learn more about our use of cookies: cookie policy.
I accept