法国数据保护机构打牌网继续对未能采用打牌网认为是基本数据安全措施的组织进行罚款。 2019年5月,打牌网对一家法国房地产公司处以400,000欧元的罚款,原因是该公司未能在服务器上采取基本的身份验证措施,并且保留信息的时间过长。这是打牌网根据《欧盟通用数据保护条例》 2016/679(GDPR)的第二项罚款,仅次于 谷歌。的 决定 是打牌网因不符合安全标准而对GDPR处以的多项罚款之一,这表明数据安全仍然是打牌网的高度优先执行事项。

背景

法国房地产公司Sergic经营着一个网站,个人可以在此网站上上传有关自己的信息,以进行物业租赁申请。 打牌网针对申请人的投诉,于2018年9月对Sergic进行了调查,因为看来申请人的文件无需身份验证即可免费访问(通过修改网站URL的值)。 打牌网确认了此漏洞,并发现可在一个主文件中访问近300,000个文档,其中包含诸如政府签发的身份证件,社会安全号码,结婚和死亡证明,离婚判决书以及税收,银行和租金报表等信息。 打牌网还发现Sergic早在2018年3月就已获悉此漏洞,但直到2018年9月才修复此漏洞。

发现

结果,打牌网认为 Sergic未能确保:

  • 数据安全: 根据打牌网,漏洞(缺乏身份验证)是显着降低数据泄露风险的基本要求,并且是最普遍的问题之一。 打牌网已对事实相似的案件处以几项公共罚款(请参见 这一页 例如打牌网网站)。此漏洞不需要任何特殊的计算知识即可利用–只需更改网站URL中的值即可。侵权行为因 敏感的性质 的数据,以及Sergic的 缺乏勤奋 补救安全性失败(即需要花费六个月的时间来补救)。没有任何人受到伤害这一事实并没有改变打牌网决定的结果。
  • 储存空间限制: 打牌网还认为,如果达到了处理目的,则必须删除或存档个人数据(即,将其移动到活动数据库中另一个逻辑上分开的部分或归档数据库中);但Sergic并未清除申请人的文件。

结果,打牌网施加了 欧元 40万罚款。不幸的是,打牌网(再次)没有说明如何确定实际罚款金额,只是说明罚款是合理且合理的。有趣的是,打牌网的报告员似乎最初要求罚款900,000欧元。没有说明为什么(以及如何)打牌网最终将罚款减少到该数额的一半以下。

考虑到GDPR和打牌网的执行活动,以下是一些可以考虑的良好做法。

法国的安全和保留良好做法

安全

  • 查看打牌网的数据安全指南,该指南可在 法文英语.
  • 查看打牌网关于密码卫生的指南,该指南可在 法文 和在 英语.
  • 查看其他安全指南,例如法国国家信息系统安全管理局编写的指南。 法文.
  • 查看其他国家/地区发布的安全指南(例如 美国联邦贸易委员会的业务指南 和安全指南 澳洲人, 西班牙文英国 数据保护/网络安全机构)。
  • 不要重蹈覆辙-在GDPR适用的许多领域(例如,数据保护影响评估,设计隐私,记录保留,数据泄露,传输,审计以及处理器/处理协议)充分利用您的安全计划。还应考虑如何重新利用来自其他部门和地区立法的安全实践。
  • 做好准备(例如,使用合适的人员,资源和响应计划),做出响应,并且不要孤岛工作-当发生数据泄露时尤其如此。内部和外部的一致,高效和迅速的沟通与行动是关键。

储存限制

检查限制的法律法规以及监管指南。例如,打牌网关于特定主题的指南(例如, 生物识别访问控制, 人力资源管理客户关系管理)中可能包含保留期限的说明。