Et fint i størrelsen af 250,000 euro er blevet pålagt Optical Centre, et fransk selskab specialiseret i at sælge øje og høreapparater. Tilsyneladende, virksomheden har undladt at sikre data fra sine kunder på sin hjemmeside, og som et resultat CNIL (den franske databeskyttelsesmyndighed) har besluttede at straffe dem.
Hvad skete der? CNIL blev opmærksom på den betydelige data lækage, der påvirkede virksomhedens hjemmeside - www.optical-center.fr - i juli sidste år. En online check var nok til at afsløre, at det var meget let at få adgang til kundernes fakturaer blot ved at indtaste flere URL'er i browseren.
Fakturaerne indeholdt typisk tonsvis af personlige oplysninger såsom for- og efternavn, fysisk adresse, CPR-nummer. Oven i købet, det indeholdt også sundhedsmæssige detaljer såsom oftalmisk korrektion.
Selskabet indrømmede, at hjemmesiden ikke i tilstrækkeligt omfang godkende, at kunderne er forbundet til personlig kunde område forud for at afsløre deres fakturaer. På denne måde var det meget nemt for alle at få adgang til fakturaer fra andre kunder - noget, der kunne have været udnyttet i mange scenarier.
Ikke første gang Optical Centre Gets Bøde, enten
Optisk Centre hurtigt løst det problem, der var utæt kundedata. Men, det ikke har overholdt artikel 34 i lov franske databeskyttelse. Endvidere, dette er ikke første gang, at selskabet har undladt at tage fat på de standarder privatlivets fred. Tidligere det fik en bøde 50,000 euro i 2015 til et andet værdipapir brud.
Den 250,000 euro fint er det højeste bødestraf nogensinde er blevet pålagt i Frankrig for en lignende problem. Men, Det skal bemærkes, at dette skete før BNPR trådte i kraft. Med BNPR, sådanne bøder kan være meget større - op til 4% af en organisations årlig omsætning eller 20 million euro.
Som vi allerede skrev, under BNPR, organisationer skal gennemføre principper for databeskyttelse, samt tekniske og organisatoriske foranstaltninger, med det ene formål at beskytte brugernes personlige oplysninger og brugernes ret til privatlivets fred. Organisationer udsat for de kommende regler skal påberåbe omfattende beskyttelse af personlige, i mellemtiden og sørg systemer og procedurer nøje at overholde de behov, datasikkerhed.