Frankrike: Betaltjänsten SlimPay bötfälls med 180 000 euro för otillräckliga säkerhetsåtgärder

Den franska dataskyddsmyndigheten Commission Nationale de l’Informatique et des Libertés (CNIL) har bötfällt betaltjänsten SlimPay med 180 000 euro för överträdelse av artiklarna 28, 32 0ch 34 i dataskyddsförordningen (GDPR).

Av beslutet framgår att SlimPay genomfört ett internt forskningsprojekt under 2015 där företaget behandlat personuppgifter i sina databaser. När forskningsprojektet avslutades i juli 2016 behöll SlimPay uppgifterna lagrade på en server, utan några säkerhetsåtgärder och fritt tillgängliga på internet. Incidenten berörde cirka 12 miljoner människor.

Under sin utredning konstaterade CNIL att SlimPay underlåtit att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som stod i proportion till risken för de registrerade. Serveråtkomsten var således inte föremål för några säkerhetsåtgärder, så att det var möjligt för obehöriga att få tillgång till den via internet mellan november 2015 och februari 2020

Dessutom konstaterade CNIL att SlimPay underlåtit att informera de registrerade om händelsen, samt att de avtal som företaget hade ingått med personuppgiftsbiträden i flera fall var otillräckligt utformade, eftersom de inte innehöll klausuler som ålade personuppgiftsbiträdena att behandla personuppgifter i enlighet med kraven i GDPR.

Mer information

Myndighet: Commission Nationale de l’Informatique et des Libertés (CNIL)

Land: Frankrike

Lagrum: Art. 28 GDPR, art. 32 GDPR, art. 34 GDPR

Sanktionsavgift: 180 000 euro

Mottagare: SlimPay

Beslutsnummer: SAN-2021-020

Beslutsdatum: 2021-12-28

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

03 OKT

Artificiell intelligens & personuppgifter

En genomgång av de viktigaste reglerna för artificiell intelligens ur ett dataskyddsperspektiv.

05 OKT

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

07 MAR

Molntjänster & tredjelandsöverföringar

En genomgång av de viktigaste reglerna för tredjelandsöverföringar vid användning av molntjänster enligt GDPR.