Amenda GDPR 400.000 Euro pentru vulnerabilitate in site web si incalcare a GDPR

O companie ce activeaza in domeniul imobiliar a fost sanctionata cu amenda de 400.000 Euro pentru o vulnerabilitate de securitate in siteul web si incalcare a GDPR-ului deoarece care expunea copii dupa documetele personale ale clientilor sai.

Constatarile investigatiei

Pornind de la o petitie depusa de un utilizator pentru anuntarea expunerii datelor sale si accesul la datele altor utilizatori, Autoritatea de supraveghere franceza a demarat o investigatei vizand incalcacarea GDPR si a descoperit la compania Sergic mai mute nereguli si neconformitati:

La inspectia desfasurata online pe siteul companiei in data de 7 septembrie 2018 s-a constat faptul ca utilizatorii care isi incarcau pe site documete personale puteau vizualiza documentele celorlalti utilizatori: acte de identitate, de proprietate, certificate civile, hotarari de divort, extrase de cont, certificate fiscale, etc

In data de 17 septembrie autoritatea de supraveghere a demarat o inspectiei la sediul companiei, iar in urma investigatiilor s-au constatat urmatoarele:

  • Compania a fost constienta de incidentul de securitate de mai sus inca din martie 2018 si a incalcat prevederile GDPR care prevad declararea unei brese de securitate in 72 de ore (dupa 25 mai 2018)
  • Compania nu si-a indeplinit obligatia de a pastra securitatea datelor personale ale utilizatorilor siteului, conform Art. 32 GDPR
  • Compania nu a avut o procedură de autentificare a utilizatorilor siteului, pentru a se asigura că persoanele care pot acceseaza documentele au fost cele care le-au incarcat, chiar dacă aceata facilitate este una o măsură elementară
  • Acest eșec a fost agravat, pe de o parte, de natura datelor puse la dispoziție si, pe de alta parte, de lipsa de diligenta a societății în corectarea acesteia: vulnerabilitatea nu a fost corectată definitiv decat după 6 luni si nu au fost luate măsuri de urgenta pentru a limita impactul vulnerabilitatii
  • Compania păstrează fara limita de timp baza activa toate documentele depuse de clienti care nu au incheiat in final un contract, dincolo de timpul necesar pentru perfectarea actelor pentru contractul de vanzare sau inchierere de locuinte/spatiu

Recomandarile Autoritatii de supraveghere

Autoritatea de supraveghere a reamintit faptul că, în principiu, perioada de păstrare a datelor cu caracter personal trebuie stabilită în funcție de scopul prelucrării. Atunci când se atinge acest scop (de exemplu, gestionarea aplicațiilor), și nici un alt scop justifică păstrarea datelor în baza de date activă, datele trebuie să fie fie șterse sau să fie o depozitare intermediară în cazul lor retenția este necesară pentru respectarea cerințelor legale sau pentru pre-litigii sau litigii.

În acest caz, datele trebuie plasate în arhivare intermediară, de exemplu într-o bază de date separată. Din nou, durata acestei arhivări trebuie să fie limitată la ceea ce este strict necesar.

Rezolutia investigatiilor desfasurate

In urma investigatiilor desfasurate si a constatarilor rezultate, Autoritatea de supraveghere a sanctionat cu amenda in valoare de 400 000 Euro pentru incalcarea GDPR și a decis să-și publice sancțiunea aplicata.

La stabilirea sanctiunii pentru incalcarea GDPR, Autoritatea de supraveghere a luat în considerare a gravitătea încălcării, lipsa de diligență a societății în abordarea vulnerabilității și faptul că documentele accesibile au relevat aspecte foarte intime ale vieții clientilor companiei. Totusi, in stabilirea cunatumului amenzii, Autoritatea a ținut cont și de mărimea companiei și de dimensiunea ei financiară.

Decizia autoritatii de supraveghere poate fi consultata aici

Acest articol a fost publicat în Informații utile și etichetat cu , , , , , , , , , , , , , , , , , , , . Salvează legătura permanentă.




Pentru a evita sancțiuni uriașe financiare și de imagine vă recomandăm să verificați GRATUIT online dacă compania / instituția dvs. trebuie să fie conformă cu prevederile impuse de GDPR (Regulamentul European 679/2016 & Legea 190/2018) și dacă trebuie să externalizați un DPO sau să aveți desemnat intern o persoană pe poziția de DPO Responsabil cu protecția datelor cu caracter personal, specializat ulterior prin urmarea unui Curs DPO Autorizat Certificat.


Dacă întâmpinați greutăți în implementarea GDPR, puteți apela la echipa de specialiști GDPR sau puteți cotracta serviciile profesionale de consultanță GDPR de specialitate.


Pentru a vă sprijini, , echipa de specialiști GDPR vă pune la dipoziție setul de instrumente necesare pentru realizare evaluării de impact DPIA (politica, procedura, formular, raportul privind analiza impactului, soft de realizare evaluare de impact, etc) împreună cu instrucțiuni și sfaturi practice, șabloanele si alte evaluari DPIA completate ca exemplu, pentru a vă ajuta să înțelegeti ce trebuie realizat pentru a desfășura o evaluare de imact conform prevederilor GDPR și prevederilor Deciziei 174/2018 emise de ANSPDCP.


Noul Kit GDPR COMPLET 2019 format din 8 Toolkituri GDPR – peste 180 documente + gratuit 145 documente si software gratuit
Kit GDPR Masuri tehnice si organizatorice impuse de legislatia protectiei datelor Regulamentul EU 678/2016 si Legea 190/2018
Consultanta de urgenta SOS GDPR – asistenta de specialtate in domeniul protectiei datelor personale
Kit GDPR DSAR – 31 Politici si Proceduri, Registre, Diagrame, Documente obligatorii pentru conformarea la prevederile GDPR Art.12,15-22
Kit GDPR 67 de Politici si Proceduri obligatorii pentru conformitatea la Regulamentul EU 679/2016
Kit GDPR Site web ONLINE recomandat pentru Aplicatii, Site-uri web, Bloguri si Magazine online pentru conformitatea la Regulamentul EU 679/2016 si Legea 190/2018
Curs DPO certificat GDPR conform cod COR 242231 + Kit pt DPO + Schema Implementare GDPR conform prevederilor Regulamentul EU 679/2016 si Legea 190/2018 conform cod COR 242231
Kit GDPR Site web ONLINE recomandat pentru Aplicatii, Site-uri web, Bloguri si Magazine online pentru conformitatea la Regulamentul EU 679/2016 si Legea 190/2018