Den franska dataskyddsmyndigheten Commission Nationale de l’Informatique et des Libertés (CNIL) har bötfällt betaltjänsten SlimPay med 180 000 euro för överträdelse av artiklarna 28, 32 0ch 34 i dataskyddsförordningen (GDPR).
Av beslutet framgår att SlimPay genomfört ett internt forskningsprojekt under 2015 där företaget behandlat personuppgifter i sina databaser. När forskningsprojektet avslutades i juli 2016 behöll SlimPay uppgifterna lagrade på en server, utan några säkerhetsåtgärder och fritt tillgängliga på internet. Incidenten berörde cirka 12 miljoner människor.
Under sin utredning konstaterade CNIL att SlimPay underlåtit att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som stod i proportion till risken för de registrerade. Serveråtkomsten var således inte föremål för några säkerhetsåtgärder, så att det var möjligt för obehöriga att få tillgång till den via internet mellan november 2015 och februari 2020
Dessutom konstaterade CNIL att SlimPay underlåtit att informera de registrerade om händelsen, samt att de avtal som företaget hade ingått med personuppgiftsbiträden i flera fall var otillräckligt utformade, eftersom de inte innehöll klausuler som ålade personuppgiftsbiträdena att behandla personuppgifter i enlighet med kraven i GDPR.