En afgørelse fra det Franske datatilsyn (Commission nationale de l’informatique et des libertés) udløser en bøde på 250.000 euro til en fransk brilleforretning. Der er tale om en anden gangs forseelse, med den involverede databehandler.

Sikkerhedsbrud:

Tilbage i juli 2017 blev det Franske datatilsyn informeret om et stort datalæk hos en fransk brillebutik og efter selv at have foretaget en online inspektion, konstaterede tilsynet, at man via butikkens hjemmeside kunne tilgå flere hundrede af butikkens kunders fakturaer, som indeholdte kundernes navn, adresse, helbredsoplysninger i form af kundens styrke og i visse tilfælde dennes personlige identifikationsnummer, hvilket svarer til det danske CPR nr.

Manglende sikkerhed:

Den manglende sikkerhed lå i muligheden for direkte på forretningens hjemmeside at kunne søge og få vist ikke kun egne – men også andre kunders fakturaer, dette selvom man ikke var logget på systemet.

Tidligere dømt:

Allerede tilbage i 2015 fik brilleforretningen en bøde på 50.000 euro for et sikkerhedsbrud, hvilket er hvorfor tilsynet mener at brillebutikken ikke har kunne være uvidende omkring den manglende sikkerhed.

Tilsynet lagde endvidere vægt på karakteren af personoplysningerne, antallet af berørte personer samt antallet af dokumenter med personoplysninger, som havde været tilgængelige på det tidspunkt, hvor tilsynet havde foretaget sine undersøgelser, hvilket udgjorde mere end 334.000 dokumenter.

Få styr på jeres databehandlerede!

Det er den dataansvarlige, der skal sikre at databehandleren overholder sikkerhedskravene, da denne ellers kan komme i store økonomiske vanskeligheder som ovenstående dom viser.

Uforpligtende samtale:

Kontakt os allerede i dag uforpligtende på 7023 3838 og hør hvad du som virksomhed, skal have styr på for, at undgå sanktioner og /eller bøder.

SEROP påtager sig intet ansvar for direkte og /eller indirekte følgeskader, herunder driftstab og /eller mistet fortjeneste. SEROPs information/rådgivning baseres udelukkende alene efter de enkelte domme og disses retskendelser, hvilket betyder at senere domme eventuelt kan ændre allerede givende domsafsigelser. Da der løbende sker ændringer i love og regler omkring Databeskyttelsesforordningens (GDPR) forhold, har SEROPs konkrete information/rådgivning kun gyldighed på det tidspunkt, hvor den gives.