Amenda GDPR 400.000 Euro pentru vulnerabilitate in site web si incalcare a GDPR

O companie ce activeaza in domeniul imobiliar a fost sanctionata cu amenda de 400.000 Euro pentru o vulnerabilitate de securitate in siteul web si incalcare a GDPR-ului deoarece care expunea copii dupa documetele personale ale clientilor sai.

Constatarile investigatiei

Pornind de la o petitie depusa de un utilizator pentru anuntarea expunerii datelor sale si accesul la datele altor utilizatori, Autoritatea de supraveghere franceza a demarat o investigatei vizand incalcacarea GDPR si a descoperit la compania Sergic mai mute nereguli si neconformitati:

La inspectia desfasurata online pe siteul companiei in data de 7 septembrie 2018 s-a constat faptul ca utilizatorii care isi incarcau pe site documete personale puteau vizualiza documentele celorlalti utilizatori: acte de identitate, de proprietate, certificate civile, hotarari de divort, extrase de cont, certificate fiscale, etc

In data de 17 septembrie autoritatea de supraveghere a demarat o inspectiei la sediul companiei, iar in urma investigatiilor s-au constatat urmatoarele:

  • Compania a fost constienta de incidentul de securitate de mai sus inca din martie 2018 si a incalcat prevederile GDPR care prevad declararea unei brese de securitate in 72 de ore (dupa 25 mai 2018)
  • Compania nu si-a indeplinit obligatia de a pastra securitatea datelor personale ale utilizatorilor siteului, conform Art. 32 GDPR
  • Compania nu a avut o procedur─â de autentificare a utilizatorilor siteului, pentru a se asigura c─â persoanele care pot acceseaza documentele au fost cele care le-au incarcat, chiar dac─â aceata facilitate este una o m─âsur─â elementar─â
  • Acest e╚Öec a fost agravat, pe de o parte, de natura datelor puse la dispozi╚Ťie si, pe de alta parte, de lipsa de diligenta a societ─â╚Ťii ├«n corectarea acesteia: vulnerabilitatea nu a fost corectat─â definitiv decat dup─â 6 luni si nu au fost luate m─âsuri de urgenta pentru a limita impactul vulnerabilitatii
  • Compania p─âstreaz─â fara limita de timp baza activa toate documentele depuse de clienti care nu au incheiat in final un contract, dincolo de timpul necesar pentru perfectarea actelor pentru contractul de vanzare sau inchierere de locuinte/spatiu

Recomandarile Autoritatii de supraveghere

Autoritatea de supraveghere a reamintit faptul c─â, ├«n principiu, perioada de p─âstrare a datelor cu caracter personal trebuie stabilit─â ├«n func╚Ťie de scopul prelucr─ârii. Atunci c├ónd se atinge acest scop (de exemplu, gestionarea aplica╚Ťiilor), ╚Öi nici un alt scop justific─â p─âstrarea datelor ├«n baza de date activ─â, datele trebuie s─â fie fie ╚Öterse sau s─â fie o depozitare intermediar─â ├«n cazul lor reten╚Ťia este necesar─â pentru respectarea cerin╚Ťelor legale sau pentru pre-litigii sau litigii.

În acest caz, datele trebuie plasate în arhivare intermediară, de exemplu într-o bază de date separată. Din nou, durata acestei arhivări trebuie să fie limitată la ceea ce este strict necesar.

Rezolutia investigatiilor desfasurate

In urma investigatiilor desfasurate si a constatarilor rezultate, Autoritatea de supraveghere a sanctionat cu amenda in valoare de 400 000 Euro pentru incalcarea GDPR ╚Öi a decis s─â-╚Öi publice sanc╚Ťiunea aplicata.

La stabilirea sanctiunii pentru incalcarea GDPR, Autoritatea de supraveghere a luat ├«n considerare a gravit─âtea ├«nc─âlc─ârii, lipsa de diligen╚Ť─â a societ─â╚Ťii ├«n abordarea vulnerabilit─â╚Ťii ╚Öi faptul c─â documentele accesibile au relevat aspecte foarte intime ale vie╚Ťii clientilor companiei. Totusi, in stabilirea cunatumului amenzii, Autoritatea a ╚Ťinut cont ╚Öi de m─ârimea companiei ╚Öi de dimensiunea ei financiar─â.

Decizia autoritatii de supraveghere poate fi consultata aici

Urmareste noutatile GDPR
Acest articol a fost publicat în Amenzi GDPR UE - International și etichetat cu , , , , , , , , , , , , , , , , , , , . Salvează legătura permanentă.


´╗┐

Pentru a evita sanc╚Ťiuni uria╚Öe financiare ╚Öi de imagine v─â recomand─âm s─â verifica╚Ťi GRATUIT online dac─â compania / institu╚Ťia dvs. trebuie s─â fie conform─â cu prevederile impuse de GDPR (Regulamentul European 679/2016 & Legea 190/2018) ╚Öi dac─â trebuie s─â externaliza╚Ťi un DPO sau s─â ave╚Ťi desemnat intern o persoan─â pe pozi╚Ťia de DPO Responsabil cu protec╚Ťia datelor cu caracter personal, specializat ulterior prin urmarea unui Curs DPO Autorizat Certificat.


Dac─â ├«nt├ómpina╚Ťi greut─â╚Ťi ├«n implementarea GDPR, pute╚Ťi apela la echipa de speciali╚Öti GDPR sau pute╚Ťi cotracta serviciile profesionale de consultan╚Ť─â GDPR de specialitate.


Pentru a v─â sprijini, , echipa de speciali╚Öti GDPR v─â pune la dipozi╚Ťie setul de instrumente necesare pentru realizare evalu─ârii de impact DPIA (politica, procedura, formular, raportul privind analiza impactului, soft de realizare evaluare de impact, etc) ├«mpreun─â cu instruc╚Ťiuni ╚Öi sfaturi practice, ╚Öabloanele si alte evaluari DPIA completate ca exemplu, pentru a v─â ajuta s─â ├«n╚Ťelegeti ce trebuie realizat pentru a desf─â╚Öura o evaluare de imact conform prevederilor GDPR ╚Öi prevederilor Deciziei 174/2018 emise de ANSPDCP.



Profita de oferta si comanda acum Kit GDPR COMPLET 2020 format din 12 Kituri GDPR cu peste 200 documente + gratuit alte 145 documente si software gratuit
Kit GDPR Masuri tehnice si organizatorice impuse de legislatia protectiei datelor Regulamentul EU 678/2016 si Legea 190/2018
Consultanta de urgenta SOS GDPR ÔÇô asistenta de specialtate in domeniul protectiei datelor personale
Kit GDPR DSAR ÔÇô 31 Politici si Proceduri, Registre, Diagrame, Documente obligatorii pentru conformarea la prevederile GDPR Art.12,15-22
Kit GDPR 67 de Politici si Proceduri obligatorii pentru conformitatea la Regulamentul EU 679/2016
Kit GDPR Site web ONLINE recomandat pentru Aplicatii, Site-uri web, Bloguri si Magazine online pentru conformitatea la Regulamentul EU 679/2016 si Legea 190/2018
Curs DPO certificat GDPR conform cod COR 242231 + Kit pt DPO + Schema Implementare GDPR conform prevederilor Regulamentul EU 679/2016 si Legea 190/2018 conform cod COR 242231
Kit GDPR Site web ONLINE recomandat pentru Aplicatii, Site-uri web, Bloguri si Magazine online pentru conformitatea la Regulamentul EU 679/2016 si Legea 190/2018