W ostatnim czasie francuski organ nadzorczy ds. ochrony danych osobowych (Commission Nationale de l’Informatique et des Libertés – CNIL), poinformował o nałożeniu dwóch bardzo wysokich kar. Pierwsza, wynosząca pięć milionów euro (ok. dwadzieścia jeden milionów złotych) została nałożona na państwową agencję zajmującą się kwestiami związanymi z bezrobociem. Druga została natomiast nałożona na podmiot prywatny, przekazujący dane uczestników programów lojalnościowych bez ich zgody. W tym przypadku, kara wyniosła trzy i pół miliona euro. (ok. piętnaście milionów złotych).
France Travail
Wyższa z kar została nałożona na publiczną instytucję zajmującą się walką z bezrobociem (France Travail). France Travail istnieje od prawie dwudziestu lat i realizuje zadania związane z wypłacaniem zasiłków i wsparciem osób bezrobotnych w poszukiwaniu pracy. Kara ma związek z atakiem hackerskim, wskutek którego wyciekły dane wszystkich osób kiedykolwiek zarejestrowanych w systemach instytucji, tj. prawie czterdziestu milionów osób. Wyciek objął takie kategorie danych jak imię, nazwisko czy numer ubezpieczenia społecznego. Na szczęście w nieszczęściu, w wycieku nie znalazły się dane tzw. szczególnych kategorii (np. dotyczących zdrowia), które znajdowały się w aktach prowadzonych przez organizację.
CNIL ustalił, że hackerzy uzyskali dostęp do systemu, poprzez przejęcie kontroli nad kontami pracowników organizacji partnerskiej (CAP EMPLOI), zapewniającej wsparcie w zakresie zagadnień związanych z zatrudnianiem osób niepełnosprawnych. W toku postępowania regulator uznał, że autoryzacja dostępu do systemu była zbyt słaba, a dostęp pracowników CAP EMPLOI do danych był zbyt szeroki i zdecydowanie wykraczał poza to co było niezbędne do realizacji tych zadań. Te nieprawidłowości doprowadziły do nałożenia kary na administratora, w wysokości 5 milionów euro (ok. 21 milionów złotych).
Kara za bezprawne przekazywanie danych
Druga ze wskazanych kar została nałożona na podmiot prywatny. CNIL nie podał jednak jego nazwy. Szczegółowo omówiony został jednak charakter naruszenia. Regulator wskazał, że firma bezprawnie przekazywała dane klientów pozyskane na potrzeby prowadzonego programu lojalnościowego. Dane te następnie miały być wykorzystywane do prowadzenia działań marketingowych.
Organ nadzorczy wskazał, że legalne przekazywanie danych osobowych innym podmiotom wymaga spełnienia szeregu warunków, które w tym przypadku nie zostały spełnione. CNIL stwierdził, że wyrażana przez użytkowników zgoda nie zawierała informacji o przekazywaniu danych, a więc nie mogła być ona podstawą prawną takich działań. Dodatkowo, w dokumentach znajdujących się na stronie firmy, brak było jasnych informacji o przekazywaniu danych.
Nie jest to jednak jedyne naruszenie stwierdzone przez organ nadzorczy. CNIL uznał, że administrator dopuścił się również takich naruszeń jak niespełnienie obowiązku informacyjnego, nieprzeprowadzenie oceny skutków dla przetwarzania danych (DPIA), czy niewdrożenie odpowiednich środków technicznych i organizacyjnych w celu zabezpieczenia danych. Wszystkie te nieprawidłowości poskutkowały karą w wysokości 3,5 miliona euro (ok 15 milionów złotych).
Źródła:
https://www.cnil.fr/en/data-breach-5million-fine-france-travail
