fbpx

Francuski organ nałożył pierwszą karę po rozpoczęciu stosowania RODO

Biuro DLS
Biuro DLS

Krajowa Komisja ds. Informatyki i Wolności (CNIL), francuski organ ochrony danych osobowych, nałożył sankcję w wysokości 250 tys. euro na Optical Center, tamtejszego sprzedawcę okularów. Przedsiębiorca ten działa głównie na terenie Francji, ale jego placówki znajdują się także w Hiszpanii, Kanadzie, Izraelu oraz Luksemburgu.

Przyczyną wymierzenia kary był wyciek danych klientów spółki, którzy dokonywali zakupów poprzez jej stronę internetową. W wyniku tego zdarzenia ponad 334 tysiące dokumentów zawierających dane osobowe użytkowników strony pozostawało bez ochrony. Wśród ujawnionych informacji znajdowały się imiona, nazwiska klientów oraz ich adresy. Jak podkreśliła CNIL, były one powszechnie dostępne po wpisaniu odpowiedniego adresu URL w wyszukiwarce. Ponadto w niektórych przypadkach osoby niepowołane mogły uzyskać dostęp do numerów identyfikacyjnych klientów, numerów ich ubezpieczenia społecznego oraz danych o stanie zdrowia (dotyczących np.: wady wzroku).

Postępowanie przeciwko Optical Center zostało wszczęte w lipcu 2017 roku, przed rozpoczęciem stosowania RODO. Ma to zasadnicze znaczenie, ponieważ unijne prawo przewiduje znacznie wyższe kary niż dotychczasowe francuskie rozwiązania w tej kwestii. RODO zakłada bowiem kary 4 % rocznego obrotu lub do 20 milionów euro, natomiast francuska ustawa o ochronie danych osobowych przewidywała karę do 3 milionów euro. Uchroniło to francuskiego przedsiębiorcę od odpowiedzialności pod reżimem rozporządzenia.

To kolejna sankcja nałożona na tego przedsiębiorcę w ciągu ostatnich kilku lat. W 2015 roku CNIL nałożyła na Optical Center karę w wysokości 50 tysięcy euro. Spowodowana była ona wynikami kontroli przeprowadzonej w przedsiębiorstwie. Okazało się bowiem, że spółka nie spełniała wymagań przewidzianych w francuskiej ustawie o ochronie danych osobowych. Między innymi nie zabezpieczała ona w sposób wystarczający swojej strony internetowej, a także nie przestrzegała zasad ochrony danych wewnątrz firmy.

Jest to najwyższa kara nałożona dotąd przez CNIL. W 2014 roku komisja wymierzyła karę w wysokości 150 tysięcy euro wobec Google za śledzenie i przechowywanie danych użytkowników. Co więcej, w 2017 roku nałożyła sankcję tej w tej samej wysokości na Facebooka w związku ze zmianami w polityce prywatności portalu.