Francusko tijelo za zaštitu osobnih podataka, CNIL, ponovno je udario po prekršiteljima GDPR-a. Nakon što se proslavio kaznom kojom je počastio Google s 50 milijuna eura početkom godine, CNIL nastavlja s provedbom i ovoga puta je kaznio tvrtku za razvoj nekretnina SERGIC s 400 000 eura.
Slučaj
Kazna je izrečena za dva prekršaja koji su počinjeni tijekom 2018. Tvrtka je naime, propustila spriječiti javni pristup privatnim dokumentima i podacima. U kolovozu 2018. jedan od korisnika SERGIC-a je prijavio da ima pristup, iz svojeg korisničkog računa na web stranici, podacima i računima drugih klijenata. Za takav pristup samo je neznatno promijenio URL. U rujnu je otkriveno da su dokumenti koje su klijenti unijeli na web stranicu javno dostupni bez dodatne autentikacije.
Dokumenti su uključivali kopije osobnih iskaznica, zdravstvenih iskaznica, porezne obavijesti i certifikati o razvodu. CNIL je obavijestio SERGIC da je saznao za prekršaj i zahtijevao od njega popravak stanja. Ispalo je da je SERGIC toga svjestan još od ožujka 2018. i iako je pokrenuta procedura da se to popravi, do popravka je došlo tek u rujnu.
CNIL je optužio tvrtku SERGIC za dva prekršaja. Kao prvo, prekršili su članak 32. koji obvezuje na čuvanje osobnih podataka odgovarajućim tehničkim i organizacijskim mjerama. To uključuje i procedure autentifikacije da bi se moglo pristupiti osobnim podacima. Kao otežavajuća okolnost dodaje se i vrijeme koje je bilo potrebno da bi se popravilo stanje.
Drugi prekršaj se ticao predugog čuvanja podataka. Voditelji obrade podataka imaju prema GDPR-u jasnu obavezu da podatke čuvaju samo onoliko koliko je apsolutno nužno i izbrišu kad im više nisu potrebni. S obzirom da je SERGIC zadržao podatke u aktivnoj bazi i nakon što mu više nisu trebali, automatski se našao u prekršaju.
CNIL je opravdao kaznu od 400 000 eura zbog težine prekršaja, trajanja prekršaja i nedostatka inicijative da se problem riješi, te posebne osjetljivosti podataka, jer je bila riječ o nekim intimnim osobnim podacima. SERGIC se nije očitovao o kazni.
Zaključak
CNIL, iako je početkom godine jako udario na Google, imao je period mirovanja što je navelo neke da teoretiziraju o njegovoj blagosti prema domaćim tvrtkama. Pokazalo se ipak da je period proveden u pripremi i obradi novih slučajeva, što i slučaj SERGIC dokazuje, te uskoro možemo očekivati još kazni za prekršitelje u Francuskoj.
