O companie ce activeaza in domeniul imobiliar a fost sanctionata cu amenda de 400.000 Euro pentru o vulnerabilitate de securitate in siteul web si incalcare a GDPR-ului deoarece care expunea copii dupa documetele personale ale clientilor sai.
Constatarile investigatiei
Pornind de la o petitie depusa de un utilizator pentru anuntarea expunerii datelor sale si accesul la datele altor utilizatori, Autoritatea de supraveghere franceza a demarat o investigatei vizand incalcacarea GDPR si a descoperit la compania Sergic mai mute nereguli si neconformitati:
La inspectia desfasurata online pe siteul companiei in data de 7 septembrie 2018 s-a constat faptul ca utilizatorii care isi incarcau pe site documete personale puteau vizualiza documentele celorlalti utilizatori: acte de identitate, de proprietate, certificate civile, hotarari de divort, extrase de cont, certificate fiscale, etc
In data de 17 septembrie autoritatea de supraveghere a demarat o inspectiei la sediul companiei, iar in urma investigatiilor s-au constatat urmatoarele:
- Compania a fost constienta de incidentul de securitate de mai sus inca din martie 2018 si a incalcat prevederile GDPR care prevad declararea unei brese de securitate in 72 de ore (dupa 25 mai 2018)
- Compania nu si-a indeplinit obligatia de a pastra securitatea datelor personale ale utilizatorilor siteului, conform Art. 32 GDPR
- Compania nu a avut o procedură de autentificare a utilizatorilor siteului, pentru a se asigura că persoanele care pot acceseaza documentele au fost cele care le-au incarcat, chiar dacă aceata facilitate este una o măsură elementară
- Acest eșec a fost agravat, pe de o parte, de natura datelor puse la dispoziție si, pe de alta parte, de lipsa de diligenta a societății în corectarea acesteia: vulnerabilitatea nu a fost corectată definitiv decat după 6 luni si nu au fost luate măsuri de urgenta pentru a limita impactul vulnerabilitatii
- Compania păstrează fara limita de timp baza activa toate documentele depuse de clienti care nu au incheiat in final un contract, dincolo de timpul necesar pentru perfectarea actelor pentru contractul de vanzare sau inchierere de locuinte/spatiu
Recomandarile Autoritatii de supraveghere
Autoritatea de supraveghere a reamintit faptul că, în principiu, perioada de păstrare a datelor cu caracter personal trebuie stabilită în funcție de scopul prelucrării. Atunci când se atinge acest scop (de exemplu, gestionarea aplicațiilor), și nici un alt scop justifică păstrarea datelor în baza de date activă, datele trebuie să fie fie șterse sau să fie o depozitare intermediară în cazul lor retenția este necesară pentru respectarea cerințelor legale sau pentru pre-litigii sau litigii.
În acest caz, datele trebuie plasate în arhivare intermediară, de exemplu într-o bază de date separată. Din nou, durata acestei arhivări trebuie să fie limitată la ceea ce este strict necesar.
Rezolutia investigatiilor desfasurate
In urma investigatiilor desfasurate si a constatarilor rezultate, Autoritatea de supraveghere a sanctionat cu amenda in valoare de 400 000 Euro pentru incalcarea GDPR și a decis să-și publice sancțiunea aplicata.
La stabilirea sanctiunii pentru incalcarea GDPR, Autoritatea de supraveghere a luat în considerare a gravitătea încălcării, lipsa de diligență a societății în abordarea vulnerabilității și faptul că documentele accesibile au relevat aspecte foarte intime ale vieții clientilor companiei. Totusi, in stabilirea cunatumului amenzii, Autoritatea a ținut cont și de mărimea companiei și de dimensiunea ei financiară.
Decizia autoritatii de supraveghere poate fi consultata aici