Francijas datu aizsardzības iestāde piemēro naudas sodu 400’000 EUR apmērā par VDAR pārkāpumu

Francijas datu aizsardzības iestāde (Commission Nationale de l’Informatique et des Libertés – CNIL) 6.jūnijā publiskojusi informāciju par tās piemēroto naudas sodu  400’000 EUR apmērā par Vispārīgās datu aizsardzības regulas pārkāpumu (VDAR) Francijas komersantam, kas specializējies nekustamo īpašumu projektu attīstībā, pirkšanā, pārdošanā, izīrēšanā un pārvaldīšanā. Attiecīgais komersants uztur tīmekļvietni, kurā potenciālie īrnieki var augšupielādēt dokumentus, kas nepieciešami viņu lietotāja profila izveidei.

 

VDAR pārkāpuma lietas pamatā ir minētās tīmekļvietnes lietotāja sūdzība par to, ka tas varējis piekļūt citu vietnes lietotāju datiem, nedaudz izmainot savu vietnē augšupielādēto dokumentu adreses tīmekļa pārlūkprogrammā. CNIL veiktās tiešsaistes pārbaudes ietvaros tika konstatēts, ka vietnes lietotāju iesniegtie dokumenti tiek glabāti brīvi pieejamā nešifrētā veidā, kā rezultātā brīvi pieejamas bija personu identifikācijas karšu, veselības apdrošināšanas karšu, nodokļu paziņojumu, laulības šķiršanas, banku kontu izdruku un citu dokumentu kopijas.

 

Klātienes pārbaudē CNIL konstatēja, ka komersants jau vairākus mēnešus ir zinājis par šo problēmu. Lai arī tas bija pasūtījis programmatūras uzlabošanu, problēma faktiski tika novērsta tikai sešus mēnešus pēc tās atklāšanas. CNIL secināja, ka komersants tādējādi ir veicis divus VDAR pārkāpumus:

 

  1. Komersants nav īstenojis atbilstīgus tehniskus un organizatoriskus pasākumus, lai nodrošinātu pietiekamu drošības līmeni tā apstrādātajiem klientu personas datiem, tādējādi pārkāpjot VDAR 32.panta noteikumus. Proti, komersants neīstenoja lietotāju autentifikāciju savā tīmekļvietnē, lai nodrošinātu, ka attiecīgajiem dokumentiem piekļūst tikai personas, kas tos augšupielādējušas, lai gan CNIL ieskatā tas būtu viens no elementārākajiem jeb pašsaprotamākajiem drošības pasākumiem šāda veida pakalpojuma ietvaros. Bez tam, komersants ilgstoši nenovērsa konstatēto problēmu un arī neveica nekādus ārkārtas pasākumus, lai mazinātu atklātās problēmas ietekmi uz privātumu.

 

  1. Klientu dati tikuši uzglabāti bez pienācīga termiņa ierobežojuma. CNIL norāda, ka uzglabāšanas termiņš ir jānosaka atbilstoši sasniedzamajam mērķim. Pēc mērķa sasniegšanas, neesot citiem likumīgiem mērķiem, dati nav vairs turami aktīvā datubāzē, bet tie būtu dzēšami vai vismaz pārvietojami uz arhīvu, ja tas nepieciešams, piemēram, komersanta leģitīmo interešu aizsardzībai, taču arī arhīvā personas dati nedrīkst tikt uzglabāti neierobežoti ilgi. Savukārt, Francijas komersants turpinājis uzglabāt pat tādus personas datus, kuru uzglabāšanai vairs nebija nekāda tiesiska mērķa.

 

Nosakot naudas soda apmēru, CNIL ņēmusi vērā pārkāpuma smagumu, komersanta rūpības trūkumu datu neaizsargātības novēršanā, faktu, ka pieejamie dokumenti atklāja ļoti personīgus cilvēku dzīves aspektus, kā arī komersanta uzņēmuma lielumu un finansiālo stāvokli.

 

CNIL paziņojuma pilnā versija pieejama CNIL tīmekļvietnē – https://www.cnil.fr/fr/sergic-sanction-de-400-000eu-pour-atteinte-la-securite-des-donnees-et-non-respect-des-durees-de

image_pdf