A picture taken on January 29, 2013 shows France's computer technology watchdog CNIL (Commisson Nationale de l'Informatique et des Libertes) sign in Paris. AFP PHOTO / LIONEL BONAVENTURE (Photo by LIONEL BONAVENTURE / AFP)

Autoritatea franceza de supraveghere a datelor personale – CNIL a dispus amendarea companiei SERGIC cu suma de 400.000 EUR pentru protecția insuficientă a datelor personale ale utilizatorilor site-ului său web și pentru modul necorespunzător de stocare a acestor date.

Prin decizia CNIL nr. SAN – 2019-005 din 28 mai 2019, s-a reținut faptul ca societatea SERGIC este specializată în dezvoltarea imobiliară, cumpărarea, vânzarea, închirierea și administrarea proprietăților. În scopul desfășurării activității sale, a creat și gestionat site-ul www.sergic.com. Prin intermediul acestui site, compania permite clienților încărcarea și descărcarea de documente justificative necesare pentru constituirea dosarului lor.

Sursa amenzii: plângerea unui utilizator

În august 2018, CNIL a primit o plângere din partea unui utilizator al site-ului, care a declarat că poate accesa, din spațiul sau personal de pe site, documentele salvate de alți utilizatori prin modificarea ușoară a adresei URL afișate în browser.
Un control la distanta, efectuat de autoritate la 7 septembrie 2018, a constatat că documentele transmise de către solicitanți pentru închiriere au fost accesibile în mod liber, fără autentificare prealabilă. Aceste documente includeau copii ale cărților de identitate, declarațiilor fiscale, certificatelor eliberate de fondul de alocații familiale, hotărâri de divorț, extrase de cont sau alte documente bancare.

Chiar în ziua controlului, CNIL a alertat compania asupra acestui incident de securitate și a încălcării în consecință a regulilor de prelucrare a datelor cu caracter personal.
Câteva zile mai târziu, s-a efectuat un control la sediul companiei. Cu această ocazie, a devenit evident că societatea era conștientă de vulnerabilitate încă din martie 2018 și că, dacă ar fi inițiat dezvoltări informatice pentru a o corecta, deficienta putea fi înlăturată complet pana la data controlului.

Doua încălcări ale GDPR

In primul rând, CNIL a constatat că societatea SERGIC nu și-a îndeplinit obligația de a asigura securitatea datelor personale ale utilizatorilor site-ului său, prevăzută la articolul 32 din GDPR.
Compania nu a avut o procedură de autentificare a utilizatorului pentru site, pentru a se asigura că persoanele care accesează documentele au avut acest drept, chiar dacă era de așteptat o astfel de măsură elementară. Acest eșec a fost agravat, pe de o parte, de natura datelor puse la dispoziție și, pe de altă parte, de lipsa de diligență a societății în corectarea acesteia: vulnerabilitatea nu a fost corectată definitiv decât după 6 luni și nu au fost luate măsuri de urgență pentru a limita impactul vulnerabilității.

In al doilea rând, autoritatea a constatat faptul că societatea a păstrat în baza sa activă de date toate documentele transmise de către candidați, fără o limitare a duratei de păstrare.

Concluzii

In motivarea sancțiunii, CNIL a reamintit că, în principiu, perioada de păstrare a datelor cu caracter personal trebuie să fie stabilită în funcție de scopul prelucrării.
Atunci când acest scop (de exemplu, gestionarea cererilor utilizatorilor) este atins și că nici un alt scop nu justifică păstrarea datelor în baza activă, datele trebuie fie șterse, fie arhivate, dacă retenția este necesară pentru respectarea cerințelor legale sau pentru eventuale litigii. În acest caz, datele trebuie plasate în arhivare intermediară, de exemplu într-o bază de date separată. Din nou, durata acestei arhivări trebuie să fie limitată la ceea ce este strict necesar.

Pentru stabilirea cuantumului amenzii, autoritatea a luat în considerare gravitatea încălcărilor, lipsa de diligență a societății în abordarea vulnerabilității și faptul că documentele astfel accesibile au relevat aspecte foarte intime ale vieții oamenilor. De asemenea, a ținut cont și de mărimea companiei și de situația sa financiară.

Textul complet al deciziei, in limba franceza, poate fi consultat AICI

Sursa informațiilor: https://www.cnil.fr

Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.