Na stronie internetowej Francuskiej Komisji ds. Wolności i Informatyki (francuski organ ochrony danych – dalej CNIL), pojawiła się informacja o nałożeniu kary na spółkę Bouygues Telecom. Jest to kolejna z serii kar nałożonych przez CNIL w związku z niezapewnieniem należytego stopnia ochrony danych osobowych. Francuska wersja informacji, której tłumaczenie umieszczono poniżej, jest dostępna tutaj: https://www.cnil.fr/fr/bouygues-telecom-sanction-pecuniaire-pour-manquement-la-securite-des-donnees-clients.

BOUYGUES TELECOM: kara finansowa za brak zabezpieczenia danych klientów

CNIL działająca w ograniczonym składzie nałożyła karę w wysokości 250 000 euro wobec spółki BOUYGUES TELECOM za niewystarczające zabezpieczenie danych klientów B&You.

W marcu 2018 r. CNIL otrzymała informacje o wystąpieniu incydentu związanego z bezpieczeństwem, który doprowadził do tego, że dane klientów marki B&You, przechowywane przez spółkę BOUYGUES TELECOM stały się wolno dostępne. W ciągu ostatnich dni, spółka ta zgłosiła CNIL naruszenie ochrony danych osobowych.

W siedzibie operatora została przeprowadzona kontrola. Pozwoliła ona na potwierdzenie istnienia podatności, pozwalającej na dostęp do umów oraz faktur klientów B&You, poprzez wprowadzenie prostej zmiany do adresu URL strony internetowej spółki BOUYGUES TELECOM. Ta wada bezpieczeństwa miała wpływ na dane ponad dwóch milionów klientów B&You przez ponad dwa lata. Po uzyskaniu informacji, operator natychmiast naprawił podatność, a dane osobowe klientów nie były już wolno dostępne.

CNIL działająca w ograniczonym składzie nałożyła karę finansową w wysokości 250 000 Euro, mając na uwadze, że spółka uchybiła swojemu obowiązkowi zapewnienia bezpieczeństwa danych osobowych użytkowników swojej strony, zgodnie z art. 34 ustawy w sprawie informatyki oraz wolności.

CNIL działająca w ograniczonym składzie stwierdziła, że przyczyną wady bezpieczeństwa był brak reaktywacji funkcji uwierzytelniania klientów po fazie testów, przy czym dezaktywacja ta wynikała wyłącznie z potrzeb testowych. CNIL oceniła jednakże, że zadaniem spółki jest zachowanie szczególnej czujności w odniesieniu do stosowanego przez nią mechanizmu uwierzytelniania, mając na uwadze, że nie zastosowała ona komplementarnych środków bezpieczeństwa.

CNIL wzięła pod uwagę wysoki stopień responsywności operatora w odniesieniu do zaradzenia incydentowi bezpieczeństwa, jak również liczne środki wdrożone przez spółkę, w celu ograniczenia jego skutków.

Kara nałożona przez CNIL dotyczy zdarzeń, które w całości miały w miejsce przed wejściem w życie europejskiego rozporządzenia o ochronie danych osobowych.

Przemysław Sierzputowski