Francuski Organ Nadzorczy (CNIL) nałożył kolejną karę za naruszenie RODO, polegające na nienależytym zabezpieczeniu danych, skutkiem czego mogły do nich uzyskać dostęp osoby nieupoważnione. Kara wyniosła 180 tys. euro.
Ukarana Spółka prowadzi działalność pośrednictwa ubezpieczeniowego oraz przygotowuje i sprzedaje umowy ubezpieczeniowe pojazdów osobom fizycznym. Dla potrzeb swojej działalności korzysta ona ze strony internetowej, za pomocą której można zwrócić się o wycenę, przystąpić do umowy oraz uzyskać dostęp do swojego profilu.
W czerwcu 2018 roku CNIL został poinformowany przez Klienta Spółki, który poinformował, że może za pośrednictwem własnego konta uzyskać dostęp do danych osobowych innych Klientów.
Kontrola wykazała, że konta Klientów Spółki były dostępne za pomocą hiperłączy w wyszukiwarce. Dokumenty oraz dane Klientów były również dostępne za pomocą modyfikacji cyfr widniejących w adresie URL wyświetlonych w wyszukiwarce. Dokumenty te zawierały kopie prawa jazdy, certyfikat dopuszczenia do ruchu drogowego, dokument zawierający dane dotyczące konta, jak również pozwalały ustalić czy osobie zawieszono prawa jazdy oraz czy nie uciekła ona z miejsca wypadku.
CNIL poinformował Spółkę o błędzie w zabezpieczeniach oraz o wynikającym z niego naruszeniu ochrony danych, a także zwrócił się o to, aby spółka podjęła działania. W odpowiedzi Spółka poinformowała CNIL o przyjętych środkach. Następnie przeprowadzono kontrolę w siedzibie Spółki. Wykazała ona, że: (i) podjęte środki nie były wystarczające do zapobiegnięcia referencji; (ii) hasła do połączenia się z kontem użytkownika, których format został narzucony przez Spółkę odwoływał się do dat urodzenia Klientów, które były wskazane w formularzu służącym do nawiązania połączenia; (iii) po utworzeniu konta, identyfikator oraz hasło służące do połączenia były przekazywane Klientom pocztą oraz wskazane otwartym tekstem w treści maila.
CNIL uznał, że Spółka nie dopełniła swojego obowiązku zapewnienia bezpieczeństwa danych osobowych, przewidzianego w art. 32 RODO.
Przy nakładaniu kary wzięto pod uwagę, że: (i) Spółka miała obowiązek zapewnić, że każda osoba, która chciała uzyskać dostęp do dokumentu, mogła to zrobić; (ii) można było uniknąć stosowania odniesień w wyszukiwarce, na przykład za pomocą pliku: „robot.txt”; (iii) Spółka miała obowiązek zobowiązać użytkowników do stosowania mocniejszych haseł oraz nie przekazywać ich w otwartej wiadomości. Poza tym, istotne były następujące czynniki: stopień ważności w związku z charakterem danych oraz dokumentów (dokumenty tożsamości, informacje dotyczące przestępstw, dane bankowe, itp.)., ilość dotkniętych osób – naruszenie dotyczyło wielu tysięcy Klientów. Wzięto także pod uwagę aktywność Spółki w odniesieniu do poprawienia braków w zabezpieczeniach oraz jej współpracę z CNIL.