צרפת: 400,000 € קנס על חשיפת מסמכים אישיים באינטרנט

רשות הגנת המידע בצרפת (CNIL) הטילה לאחרונה קנס בסך של 400,000 אירו על חברת נדל"ן צרפתית. בחקירת הרגולטור התברר כי החברה הפרה את עקרון מזעור המידע בתקנות האירופיות להגנת מידע (GDPR), לפי סעיף 5.1 וחובת אבטחת המידע לפי סעיף 32. לעניין מזעור המידע קבע הרגולטור כי יש לארכב מידע הנדרש למטרת בירור משפטי עתידי, בנפרד מהמאגר העיקרי.

חברת הנדל"ן SERGIC עוסקת במכירה, השכרה וניהול נכסים. לצורך העסק שלה, מפעילה החברה את האתר www.sergic.com. אתר זה מאפשר ללקוחות החברה לשמור את המסמכים הנחוצים לביצוע עסקאות נדל"ן. באוגוסט 2018, התלונן משתמש באתר לרגולטור, כי ניתן על ידי שינוי קל של כתובת האתר המוצגת בדפדפן לגשת מהאזור האישי למסמכים שנשמרו על ידי משתמשים אחרים. בדיקה מקוונת של הרגולטור שנערכה ב -7 בספטמבר 2018 מצאה כי מסמכים של משתמשים היו נגישים באופן חופשי ללא זיהוי ואימות כנדרש. מסמכים אלה כללו בין היתר העתקים של תעודות זהות, הודעות מס, תעודות שהונפקו על ידי קרנות פנסיה, צווי גירושין ומידע על חשבונות בנק.

הרגולטור התריע על בעית האבטחה בפני החברה מיד עם פתיחת החקירה, אלא שאז התברר שהחברה היתה מודעת לבעיה כבר מחודש מרץ 2018. החברה אמנם החלה כבר באותו חודש בפיתוח סביבת משתמש חדשה באתר, אך לא הזדרזה לסגור את פרצת האבטחה עד ל-17 בספטמבר כשבוע לאחר פתיחת החקירה. בנוסף התברר כי החברה שמרה מסמכים של לקוחותיה לזמן ממוושך באופן שאינו נדרש למטרה לשמה נאספו. הרגולטור קבע כי כאשר נדרשים מסמכים לצורך בירור משפטי עתידי יש לשמור זאת במאגר ארכיב נפרד מהמאגר העיקרי ואף זאת לתקופה מצומצמת הנדרשת להשגת מטרה זו.

החלטת הרגולטור על גובה הקנס לקחה בחשבון את חומרת ההפרה והעיכוב בתיקונה, כמו גם את גודל החברה והמחזור השנתי שלה. מקור: הרגולטור הצרפתי להגנת מידע