Агентство недвижимости оштрафовано за нарушение GDPR

Французский информационный регулятор CNIL оштрафовал агентство недвижимости Sergic на 400 тыс. евро (примерно $453 тыс.). Компания не смогла защитить личную информацию клиентов от утечки и не обеспечила правильное хранение данных. Таким образом, были нарушены положения общеевропейского регламента по защите данных (GDPR), пишет Compliance Week.

В августе 2018 г. CNIL получил жалобу от одного из клиентов Sergic. В обращении к регулятору утверждалось, что из личного кабинета на сайте агентства недвижимости можно было просматривать документы других пользователей путем незначительной корректировки URL в адресной строке браузера. В ходе проверки, организованной в сентябре, специалисты CNIL убедились в том, что проблема существует. На сайте без авторизации были доступны документы, загруженные по объектам недвижимости: в том числе копии удостоверений личности, различные справки, выписки и реквизиты банковских счетов.

В ходе инспекции CNIL также выяснилось, что менеджеры Sergic узнали об уязвимости на сайте еще в марте 2018 г., но не предпринимали никаких шагов для ее устранения. Кроме того, агентство нарушило правила хранения документов: многие файлы необходимо было своевременно удалять из приложения или отправлять в специальную архивную базу.