Na stronie internetowej CNIL pojawiła się informacja o kolejnej karze. Tym razem powodem było nienależyte zabezpieczenie danych, skutkiem czego mogły do nich uzyskać dostęp osoby nieupoważnione. Treść informacji, której tłumaczenie przedstawiono poniżej, jest dostępna
w języku francuskim tutaj: https://www.cnil.fr/fr/active-assurances-sanction-de-180-000-euros-pour-atteinte-la-securite-des-donnees-des-clients.
CNIL działająca w ograniczonym składzie nałożyła karę w wysokości 180 000 euro wobec spółki ACTIVE ASSURANCES za niewystarczającą ochronę danych użytkowników swojej strony internetowej.
Spółka ACTIVE ASSURANCES prowadzi działalność pośrednictwa ubezpieczeniowego oraz przygotowuje i sprzedaje umowy ubezpieczeniowe pojazdów osobom fizycznym. Dla potrzeb swojej działalności, prowadzi ona stronę internetową www.activeassurances.fr, za pomocą której osoby mogą zwrócić się o wycenę, przystąpić do umowy oraz uzyskać dostęp do swojego profilu.
W czerwcu 2018 r. CNIL otrzymała informację od klienta spółki, który poinformował, że może za pośrednictwem własnego konta uzyskać dostęp do danych osobowych innych klientów.
Kontrola internetowa pozwoliła stwierdzić, że konta klientów spółki były dostępne za pomocą hiperłączy w wyszukiwarce. Dokumenty oraz dane klientów były również dostępne za pomocą modyfikacji cyfr widniejących w adresie URL wyświetlonych w wyszukiwarce. Dokumenty te zawierały kopie prawa jazdy, certyfikat dopuszczenia do ruchu drogowego, dokument zawierający dane dotyczące konta (tzw. relevé d’identité bancaire), jak również pozwalały ustalić czy osobie zawieszono prawo jazdy oraz czy nie uciekła ona z miejsca wypadku.
Tego samego dnia CNIL zaalarmował spółkę o błędzie w zabezpieczeniach oraz o wynikającym
z niego naruszeniu ochrony danych, a także zwrócił się o to, aby spółka podjęła działania.
Kilka dni później spółka poinformowała CNIL o przyjętych środkach. Następnie przeprowadzono kontrolę w siedzibie spółki. Pozwoliła ona stwierdzić, iż :
- podjęte środki nie były wystarczające do zapobiegnięcia referencji;
- hasła do połączenia się z kontem użytkownika, których format został narzucony przez spółkę, odwoływał się do dat urodzenia klientów, które były wskazane w formularzu służącym do nawiązania połączenia;
- po utworzeniu konta, identyfikator oraz hasło służące do połączenia były przekazywane klientom pocztą oraz wskazane otwartym tekstem w treści maila.
Po przeprowadzonym postępowaniu, ograniczony skład CNIL – organ CNIL zajmujący się nakładaniem kar – uznał, że spółka nie dopełniła swojego obowiązku zapewnienia bezpieczeństwa danych osobowych, przewidzianego w art. 32 Ogólnego Rozporządzania o Ochronie Danych (RODO).
CNIL działająca w ograniczonym składzie wzięła pod uwagę, iż:
- spółka miała obowiązek zapewnić, że każda osoba, która chciała uzyskać dostęp do dokumentu, mogła to zrobić;
- można było uniknąć stosowania odniesień w wyszukiwarce, na przykład za pomocą pliku: „robot.txt”;
- spółka miała obowiązek zobowiązać użytkowników do stosowania mocniejszych haseł oraz nie przekazywać ich w otwartej wiadomości.
W konsekwencji, CNIL działająca w ograniczonym składzie nałożyła karę w wysokości 180 000 euro oraz zdecydowała się ją upublicznić. Wzięła ona w szczególności pod uwagę stopień ważności w związku z charakterem danych oraz dokumentów (dokumenty tożsamości, informacje dotyczące przestępstw, dane bankowe, itp.). Wzięła ona także pod uwagę ilość dotkniętych osób – braki w bezpieczeństwie dotknęły wiele tysięcy klientów, którzy zaczęli zrywać swoje umowy ze spółką. CNIL wzięła również pod uwagę aktywność spółki w odniesieniu do poprawienia braków w zabezpieczeniach i jej współpracę z CNIL.
Zapraszamy także do lektury artykułów:
CNIL nałożyła karę za nieprawidłowości w monitorowaniu pracowników
