GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Kolejna kara Francuskiego Organu za niewystarczające zabezpieczenia

Francuska skarbówka będzie mogła zbierać dane z portali społecznościowych

Na stronie internetowej CNIL pojawiła się informacja o kolejnej karze. Tym razem powodem było nienależyte zabezpieczenie danych, skutkiem czego mogły do nich uzyskać dostęp osoby nieupoważnione. Treść informacji, której tłumaczenie przedstawiono poniżej, jest dostępna
w języku francuskim tutaj: https://www.cnil.fr/fr/active-assurances-sanction-de-180-000-euros-pour-atteinte-la-securite-des-donnees-des-clients.

CNIL działająca w ograniczonym składzie nałożyła karę w wysokości 180 000 euro wobec spółki ACTIVE ASSURANCES za niewystarczającą ochronę danych użytkowników swojej strony internetowej.

Spółka ACTIVE ASSURANCES prowadzi działalność pośrednictwa ubezpieczeniowego oraz przygotowuje i sprzedaje umowy ubezpieczeniowe pojazdów osobom fizycznym. Dla potrzeb swojej działalności, prowadzi ona stronę internetową www.activeassurances.fr, za pomocą której osoby mogą zwrócić się o wycenę, przystąpić do umowy oraz uzyskać dostęp do swojego profilu.

W czerwcu 2018 r. CNIL otrzymała informację od klienta spółki, który poinformował, że może za pośrednictwem własnego konta uzyskać dostęp do danych osobowych innych klientów.

Kontrola internetowa pozwoliła stwierdzić, że konta klientów spółki były dostępne za pomocą hiperłączy w wyszukiwarce. Dokumenty oraz dane klientów były również dostępne za pomocą modyfikacji cyfr widniejących w adresie URL wyświetlonych w wyszukiwarce. Dokumenty te zawierały kopie prawa jazdy, certyfikat dopuszczenia do ruchu drogowego, dokument zawierający dane dotyczące konta (tzw. relevé d’identité bancaire), jak również pozwalały ustalić czy osobie zawieszono prawo jazdy oraz czy nie uciekła ona z miejsca wypadku.

Tego samego dnia CNIL zaalarmował spółkę o błędzie w zabezpieczeniach oraz o wynikającym
z niego naruszeniu ochrony danych, a także zwrócił się o to, aby spółka podjęła działania.

Kilka dni później spółka poinformowała CNIL o przyjętych środkach. Następnie przeprowadzono kontrolę w siedzibie spółki. Pozwoliła ona stwierdzić, iż :

Po przeprowadzonym postępowaniu, ograniczony skład CNIL – organ CNIL zajmujący się nakładaniem kar – uznał, że spółka nie dopełniła swojego obowiązku zapewnienia bezpieczeństwa danych osobowych, przewidzianego w art. 32 Ogólnego Rozporządzania o Ochronie Danych (RODO).

CNIL działająca w ograniczonym składzie wzięła pod uwagę, iż:

W konsekwencji, CNIL działająca w ograniczonym składzie nałożyła karę w wysokości 180 000 euro oraz zdecydowała się ją upublicznić. Wzięła ona w szczególności pod uwagę stopień ważności w związku z charakterem danych oraz dokumentów (dokumenty tożsamości, informacje dotyczące przestępstw, dane bankowe, itp.). Wzięła ona także pod uwagę ilość dotkniętych osób – braki w bezpieczeństwie dotknęły wiele tysięcy klientów, którzy zaczęli zrywać swoje umowy ze spółką. CNIL wzięła również pod uwagę aktywność spółki w odniesieniu do poprawienia braków w zabezpieczeniach i jej współpracę z CNIL.

Zapraszamy  także do lektury artykułów:

CNIL nałożyła karę za nieprawidłowości w monitorowaniu pracowników

Pierwsza W Polsce kara za naruszenie przepisów RODO