Bir test sunucusunu unutmak size pahalıya mal olabilir. Slimpay, 12 milyon kişiye ait kişisel verileri internet üzerinden erişilebilen güvenli olmayan bir sunucuda bıraktığı için 180.000 Euro para cezasına çarptırıldı. CNIL bu nedenle şirkete yaptırım uygulamayı seçti ve yaptırımın nedenlerini sitesinde yayınlamak : komisyon, 2015 yılında bir yıl süren bir ar-ge projesi için devreye alınan sunucunun 2020 yılına kadar erişilebilir kaldığını belirtir.
Bu beceriksizlik, kişisel veriler (medeni durum verileri, fiziksel ve e-posta adresleri ve telefon numaraları) dahil olmak üzere 12 milyon kullanıcının verilerini ve ayrıca ilgili kişilerin BIC tanımlayıcıları ve IBAN’ları gibi bankacılık bilgilerini de ifşa etti. Ödeme yönetimi konusunda uzmanlaşmış bir şirket için büyük bir hata: CNIL bu nedenle “ihlalle ilişkili riskin yüksek olarak kabul edilmesi gerektiğini” ve bu nedenle şirketin, verilerin ifşa edilmesinden etkilenen kullanıcıları, gerektiği şekilde, bireysel olarak bilgilendirmesi gerektiğini düşünmektedir. kanun. Slimpay, verilerin muhtemelen üçüncü taraflarca hileli olarak kullanılmadığını açıklayarak kendini savunuyor, ancak CNIL kendi görüşüne göre “ilgili kişiler için kanıtlanmış bir önyargının olmamasının güvenlik kusurunun varlığı üzerinde hiçbir etkisi olmadığını” hatırlatıyor. “
L’GDPR’nin 32. maddesi gerçekten de şirketlerin işledikleri kişisel verileri “riske uygun bir güvenlik düzeyinde” güvence altına almaları gerektiğini belirtir. “Aksi takdirde, bir denetim durumunda veri koruma makamından yaptırım uygulamakla yükümlüdürler. CNIL ayrıca Slimpay’in hizmetlerinin belirli sözleşme hükümleriyle ilgili ihlalleri de kaydetti. Böylece CNIL, Slimpay tarafından hizmet sağlayıcılarına sunulan sözleşmelerin, taşeronların GDPR hükümlerine uymasını sağlamaya yönelik hükümler içermediğini kaydetti. Açıkça şirketin dosyasına yardımcı olmayan ve CNIL’i şirkete kamuya açık bir şekilde yaptırım uygulamaya zorlayan yasal bir gözetim.
