Компания SERGIC была оштрафована за несоблюдение GDPR

Французская компания SERGIC, специализирующаяся на покупке, продаже и аренде недвижимости была оштрафована на 400000 евро за несоблюдение правил хранения персональных данных своих клиентов.

В августе 2018 года компания получила жалобу от одного из пользователей, которая заключалась в том, что путем простых манипуляций с URL, пользователь получал доступ не только к своим данным, но и к данным всех остальных клиентов риэлторской компании.

Проведенная по этому факту проверка подтвердила не только незащищенность персональных данных, касающихся личной жизни и экономической деятельности физических лиц, но также обнаружила другую проблему: персональные данные, хранящиеся у компании, не проходили проверку на подлинность, т.е. могли быть ложными.

Позже было обнаружено, что персональные данные, хранящиеся у данной компании находились в ее базах данных дольше, чем это было необходимо для тех целей, ради которых они собирались. Это допустимо лишь в том случае, когда увеличение срока хранения необходимо для соблюдения законодательства, либо при необходимости использовать эти данные в судебном разбирательстве или в ходе расследования. При отсутствии данных факторов нецелесообразно долгое хранение персональных данных также является нарушением GDPR.

Орган CNIL, к компетенции которого относится наложение санкции оштрафовал компанию SERGIC, на 400000 евро за нарушение трёх из шести принципов хранения персональных данных, предусмотренных GDPR, при том, что компания знала об утечке более года, но уклонялась от ее устранения. Такая мягкая санкция была применена в связи с экономическим оборотом риэлторской компании.