.jpeg)
.jpg)
.jpg)
.jpg)
.jpg)
Zarejestruj się i uzyskaj dostęp do licznych narzędzi
INFOGREFFE ukarana karą w wysokości 250 000 euro
15/09/2022
CNIL nałożyła administracyjną karę 250 000 euro na INFOGREFFE za naruszenie RODO dotyczące okresów przechowywania i bezpieczeństwa danych osobowych
Stan faktyczny
CNIL przeprowadziła postepowanie online w sprawie infogreffe.fr strony internetowej, która umożliwia użytkownikom zapoznanie się z informacjami prawnymi na temat firm i zamówienie dokumentów poświadczonych przez rejestry sądów gospodarczych. Postępowanie koncentrowało się w szczególności na okresach przechowywania danych oraz środkach bezpieczeństwa wdrożonych przez INFOGREFFE, która świadczy usługi publikowania informacji prawnych i urzędowych na temat firm za pośrednictwem strony internetowej.
W trakcie dochodzenia CNIL odnotowała kilka naruszeń dotyczących przetwarzania danych osobowych użytkowników serwisu (osób, które utworzyły konto w celu obejrzenia lub zamówienia aktu oraz subskrybentów z roczną subskrypcją).
Naruszenia objęte sankcjami:
Niewywiązanie się z obowiązku przechowywania danych przez okres proporcjonalny do celu przetwarzania (art. 5 ust. 1 lit. e RODO)
Strona internetowa infogreffe.fr przewidywała, że dane osobowe członków i subskrybentów (dane bankowe, imiona i nazwiska, adres pocztowy i e-mail, numery telefonów komórkowych i komórkowych, tajne pytanie i odpowiedź na nie) będą przechowywane przez 36 miesięcy od ostatniego zamówienia usługi i / lub dokumentu.
CNIL stwierdził jednak, że dane 25% użytkowników usługi były przechowywane po upływie ustalonych okresów przechowywania. Wprowadzona ręczna anonimizacja, tylko na żądanie użytkowników, dotyczyła bardzo małej liczby kont.
Organizacja wskazała w trakcie procedury, że od czasu przeprowadzenia dochodzenia przeprowadzono czystkę na rachunkach, które były nieaktywne przez ponad 36 miesięcy.
Niewywiązanie się z obowiązku zapewnienia bezpieczeństwa danych osobowych (art. 32 RODO)
CNIL stwierdził również, że organizacja nie wymagała użycia silnego hasła podczas tworzenia konta na swojej stronie internetowej i że niemożliwe było wprowadzenie bezpiecznego hasła przez 3,7 miliona kont ze względu na ich ograniczony rozmiar.
Ponadto INFOGREFFE przesyłał nietymczasowe hasła dostępu do kont w postaci zwykłego tekstu za pośrednictwem poczty elektronicznej.
W konsekwencji CNIL uznała, że INFOGREFFE nie podjęła wystarczających środków w celu zagwarantowania bezpieczeństwa danych zainteresowanych członków i użytkowników.
Organizacja wdrożyła jednak w trakcie procedury pewne działania dotyczące bezpieczeństwa dostępu do rachunków oraz identyfikacji członków i abonentów.
Źródło: https://www.cnil.fr/en/infogreffe-fined-250000-euros
.jpg)
.jpg)
.jpg)
.png)