Francuski organ nadzorczy nałożył karę pieniężną w wysokości 250.000 euro
W dniu 7 czerwca 2018r. francuski organ nadzorczy (CNIL) opublikował decyzję (wydaną miesiąc wcześniej), w której nałożył na Optical Center karę pieniężną w wysokości 250.000 euro, za niedostateczne zabezpieczenie danych osobowych swoich klientów.
CNIL zauważył, że ponad 334.000 dokumentów (głównie faktur) klientów było łatwo dostępne na stronie internetowej Optical Center poprzez wprowadzenie kilku adresów URL w pasku adresu przeglądarki.
Naruszenie zostało uznane za rażące, ponieważ faktury zawierały takie dane osobowe jak: imię, nazwisko, adres zamieszkania, dane dotyczące zdrowia (wada wzroku) oraz, w niektórych przypadkach, numer ubezpieczenia społecznego i datę urodzenia osób, których dane dotyczą. Dane dotyczące zdrowia, jako wrażliwe dane, mają jeszcze szerszą ochronę niż zwykłe dane osobowe. Na firma została już została nałożona kara pieniężna za naruszenie bezpieczeństwa danych osobowych w 2015r., stąd tak wysoka kara, która jest najwyższą jaka kiedykolwiek została nałożona we Francji za naruszenie bezpieczeństwa danych osobowych.
CNIL wyjaśnił również, że opublikowanie decyzji było konieczne, ponieważ liczba naruszeń danych znacznie wzrosła w ostatnich latach i istnieje potrzeba zwiększenia świadomości tak przedsiębiorców, którzy dane przetwarzają, jak i osób, których dane dotyczą.
Naruszenie miało miejsce w lipcu ubiegłego roku, stąd RODO nie miało jeszcze zastosowania w tej sprawie, ale prawo francuskie przewidywało karę pieniężną za nieprzestrzeganie zasad ochrony danych w wysokości od 150.000 euro do 3 milionów euro.
W przypadku przyszłych naruszeń, kary pieniężne mogą być jeszcze wyższe, ponieważ RODO (obowiązujące na terenie całej Unii Europejskiej) zwiększa maksymalne kary do 4% całkowitego światowego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego lub 20 milionów euro, w zależności od tego, która z tych kwot jest większa.