O nakładaniu kar za naruszenie ochrony danych osobowych przez CNIL (Commission Nationale de l’Informatique et des Libertés, francuski organ administracji publicznej odpowiedzialny za regulacje dotyczące przetwarzania danych osobowych) pisaliśmy kilka miesięcy temu. W ostatnim czasie CNIL nałożył kolejne kary, w tym m.in. za naruszenie bezpieczeństwa przetwarzania danych osobowych na stronie internetowej.
Omawiana sprawa dotyczyła pośrednika w branży ubezpieczeń komunikacyjnych. Za pośrednictwem strony internetowej tego podmiotu można było poprosić o kalkulację kosztów ubezpieczenia, zawrzeć umowę i zalogować się do swojego konta, na którym dostępne były różnego rodzaju dane osobowe, np. wyciągi bankowe oraz informacje dotyczące zatrzymania prawa jazdy czy wyroków za przestępstwa komunikacyjne.
Kontrola CNIL w spółce poprzedzona była informacją otrzymaną od użytkownika takiego konta, który zgłosił, że może uzyskać dostęp do kont innych użytkowników, zmieniając niektóre elementy linku do swojego konta i wklejając go w wyszukiwarkę. Po zweryfikowaniu prawdziwości tej informacji CNIL poinformował o tej okoliczności spółkę i wezwał ją do przedsięwzięcia czynności zaradczych.
Późniejsza kontrola CNIL wykazała m.in, że środki bezpieczeństwa stosowane przez spółkę nie były wystarczające, aby zapobiec dostępowi do kont przez nieupoważnione do tego osoby oraz że po utworzeniu konta login i hasło były przesyłane użytkownikom mailem i wskazywane w treści takiego maila.
W konsekwencji CNIL uznał, że spółka naruszyła art. 32 RODO, tj. obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych do zapewnienia bezpieczeństwa danych osobowych. CNIL wskazał, że spółka była zobowiązana do takiego zaprojektowania strony, aby dostęp do danych danego użytkownika miał tylko on sam. Niedopuszczalna była możliwość wyszukiwania kont użytkowników z poziomu wyszukiwarki internetowej. Dodatkowo spółka była zobowiązana do wymuszenia na użytkownikach tworzenia mocniejszych haseł.
CNIL nałożył na spółkę karę w wysokości 180 000 euro. Przy określaniu jej wysokości wziął pod uwagę wagę naruszenia, cel i charakter danych osobowych (dowody tożsamości, dane dotyczące przestępstw, dane z wyciągów bankowych), a także znaczną liczbę osób, których dotyczyło naruszenie. Na korzyść spółki działały przy tym szybkość reakcji po otrzymaniu informacji o naruszeniu i współpraca z CNIL.
Sposób zabezpieczania danych osobowych przez podmioty działające w internecie często nie jest zgodny z obowiązującymi przepisami z zakresu danych osobowych, szczególnie pod względem technicznego zabezpieczenia dostępu do tych danych z poziomu wyszukiwarek. Działania francuskiego organu mogą sprawić, że podmioty, które przetwarzają duże ilości danych osobowych osób tworzących konta w ich serwisach internetowych, zaczną się baczniej przyglądać temu, czy stosowane przez nie zabezpieczenia są wystarczające z perspektywy RODO.
Katarzyna Szczudlik