Amend? GDPR de 400 000 EUR: înc?lcarea securit??ii datelor ?i nerespectarea duratei de p?strare
Autoritatea franceza de supraveghere a datelor personale – CNIL a dispus amendarea companiei SERGIC cu suma de 400.000 EUR pentru protec?ia insuficient? a datelor personale ale utilizatorilor site-ului s?u web ?i pentru modul necorespunz?tor de stocare a acestor date.
Prin decizia CNIL nr. SAN – 2019-005 din 28 mai 2019, s-a re?inut faptul ca societatea SERGIC este specializat? în dezvoltarea imobiliar?, cump?rarea, vânzarea, închirierea ?i administrarea propriet??ilor. În scopul desf??ur?rii activit??ii sale, a creat ?i gestionat site-ul www.sergic.com. Prin intermediul acestui site, compania permite clien?ilor înc?rcarea ?i desc?rcarea de documente justificative necesare pentru constituirea dosarului lor.
Sursa amenzii: plângerea unui utilizator
În august 2018, CNIL a primit o plângere din partea unui utilizator al site-ului, care a declarat c? poate accesa, din spa?iul sau personal de pe site, documentele salvate de al?i utilizatori prin modificarea u?oar? a adresei URL afi?ate în browser.
Un control la distanta, efectuat de autoritate la 7 septembrie 2018, a constatat c? documentele transmise de c?tre solicitan?i pentru închiriere au fost accesibile în mod liber, f?r? autentificare prealabil?. Aceste documente includeau copii ale c?r?ilor de identitate, declara?iilor fiscale, certificatelor eliberate de fondul de aloca?ii familiale, hot?râri de divor?, extrase de cont sau alte documente bancare.
Chiar în ziua controlului, CNIL a alertat compania asupra acestui incident de securitate ?i a înc?lc?rii în consecin?? a regulilor de prelucrare a datelor cu caracter personal.
Câteva zile mai târziu, s-a efectuat un control la sediul companiei. Cu aceast? ocazie, a devenit evident c? societatea era con?tient? de vulnerabilitate înc? din martie 2018 ?i c?, dac? ar fi ini?iat dezvolt?ri informatice pentru a o corecta, deficienta putea fi înl?turat? complet pana la data controlului.
Doua înc?lc?ri ale GDPR
In primul rând, CNIL a constatat c? societatea SERGIC nu ?i-a îndeplinit obliga?ia de a asigura securitatea datelor personale ale utilizatorilor site-ului s?u, prev?zut? la articolul 32 din GDPR.
Compania nu a avut o procedur? de autentificare a utilizatorului pentru site, pentru a se asigura c? persoanele care acceseaz? documentele au avut acest drept, chiar dac? era de a?teptat o astfel de m?sur? elementar?. Acest e?ec a fost agravat, pe de o parte, de natura datelor puse la dispozi?ie ?i, pe de alt? parte, de lipsa de diligen?? a societ??ii în corectarea acesteia: vulnerabilitatea nu a fost corectat? definitiv decât dup? 6 luni ?i nu au fost luate m?suri de urgen?? pentru a limita impactul vulnerabilit??ii.
In al doilea rând, autoritatea a constatat faptul c? societatea a p?strat în baza sa activ? de date toate documentele transmise de c?tre candida?i, f?r? o limitare a duratei de p?strare.
Concluzii
In motivarea sanc?iunii, CNIL a reamintit c?, în principiu, perioada de p?strare a datelor cu caracter personal trebuie s? fie stabilit? în func?ie de scopul prelucr?rii.
Atunci când acest scop (de exemplu, gestionarea cererilor utilizatorilor) este atins ?i c? nici un alt scop nu justific? p?strarea datelor în baza activ?, datele trebuie fie ?terse, fie arhivate, dac? reten?ia este necesar? pentru respectarea cerin?elor legale sau pentru eventuale litigii. În acest caz, datele trebuie plasate în arhivare intermediar?, de exemplu într-o baz? de date separat?. Din nou, durata acestei arhiv?ri trebuie s? fie limitat? la ceea ce este strict necesar.
Pentru stabilirea cuantumului amenzii, autoritatea a luat în considerare gravitatea înc?lc?rilor, lipsa de diligen?? a societ??ii în abordarea vulnerabilit??ii ?i faptul c? documentele astfel accesibile au relevat aspecte foarte intime ale vie?ii oamenilor. De asemenea, a ?inut cont ?i de m?rimea companiei ?i de situa?ia sa financiar?.
Textul complet al deciziei, in limba franceza, poate fi consultat AICI
Sursa informa?iilor: https://www.cnil.fr