400 000 € i sanktionsavgift för otillräcklig informationssäkerhet

2019-06-18
Den franska dataskyddstillsynsmyndigheten CNIL har i ett tillsynsärende dömt ett företag i fastighetsbranschen att betala 400 000 € (cirka 4 miljoner kr) i sanktionsavgift för brott mot bland annat artikel 32 i Dataskyddsförordningen.

På företagets hemsida kunde vem som helst komma åt identitetshandlingar, skattebesked, bidragsuppgifter, skilsmässohandlingar, kontouppgifter m.m. bara genom att ändra i URL:en på företagets hemsida. Företaget hade känt till säkerhetsbristen i ett halvår utan att ha gjort något åt den. Dessutom fanns brister i hur företaget gallrade uppgifter som inte längre behövdes

Den 28 maj 2019 beslutade den franska dataskyddstillsynsmyndigheten CNIL att ett företag i fastighetsbranschen (SERGIC) ska betala 400 000 € i sanktionsavgift för brott mot EUs Dataskyddsförordning.

Genom att ändra i webbläsarens adressfält (URL) på företagets hemsida kunde vem som helst ta del av mängder av uppgifter om företagets kunder. Uppgifterna bestod bland annat av identitetshandlingar, skattebesked, bidragsuppgifter, skilsmässohandlingar och kontouppgifter. Företaget hade känt till bristerna i ett halvår innan CNIL fick uppgift om det och inledde tillsyn. Det var först efter att CNIL inledde tillsyn som bristen rättades till.

Brottet mot förordningen bestod dels av att inte ha tillräckligt hög säkerhet för uppgifterna enligt artikel 32 i Dataskyddsförordningen, dels i att uppgifterna inte gallrats när de inte längre behövdes.

När myndigheten bedömde storleken på sanktionsavgiften beaktade CNIL brottets allvarlighetsgrad, bristen på agerande från företagets sida och att uppgifterna rörde känsliga uppgifter om privatpersoners liv. Hänsyn togs också till företagets storlek och finansiella styrka. Läs avgörande i sin helhet här (på franska)

Fakta

Artikel 32 i dataskyddsförordningen

Säkerhet i samband med behandlingen

  1. Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt
    1. pseudonymisering och kryptering av personuppgifter,
    2. förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och -tjänsterna,
    3. förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident,
    4. ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.
  2. Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.
  3. Anslutning till en godkänd uppförandekod som avses i artikel 40 eller en godkänd certifieringsmekanism som avses i artikel 42 får användas för att visa att kraven i punkt 1 i den här artikeln följs.
  4. Den personuppgiftsansvarige och personuppgiftsbiträdet ska vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast behandlar dessa på instruktion från den personuppgiftsansvarige, om inte unionsrätten eller medlemsstaternas nationella rätt ålägger honom eller henne att göra det.

Behöver ni hjälp med  GDPR kontakta Certezza på sales@certezza.net