Frankrike: Betaltjänsten SlimPay bötfälls med 180 000 euro för otillräckliga säkerhetsåtgärder

Den franska dataskyddsmyndigheten Commission Nationale de l’Informatique et des Libertés (CNIL) har bötfällt betaltjänsten SlimPay med 180 000 euro för överträdelse av artiklarna 28, 32 0ch 34 i dataskyddsförordningen (GDPR).

Av beslutet framgår att SlimPay genomfört ett internt forskningsprojekt under 2015 där företaget behandlat personuppgifter i sina databaser. När forskningsprojektet avslutades i juli 2016 behöll SlimPay uppgifterna lagrade på en server, utan några säkerhetsåtgärder och fritt tillgängliga på internet. Incidenten berörde cirka 12 miljoner människor.

Under sin utredning konstaterade CNIL att SlimPay underlåtit att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som stod i proportion till risken för de registrerade. Serveråtkomsten var således inte föremål för några säkerhetsåtgärder, så att det var möjligt för obehöriga att få tillgång till den via internet mellan november 2015 och februari 2020

Dessutom konstaterade CNIL att SlimPay underlåtit att informera de registrerade om händelsen, samt att de avtal som företaget hade ingått med personuppgiftsbiträden i flera fall var otillräckligt utformade, eftersom de inte innehöll klausuler som ålade personuppgiftsbiträdena att behandla personuppgifter i enlighet med kraven i GDPR.

Mer information

Myndighet: Commission Nationale de l’Informatique et des Libertés (CNIL)

Land: Frankrike

Lagrum: Art. 28 GDPR, art. 32 GDPR, art. 34 GDPR

Sanktionsavgift: 180 000 euro

Mottagare: SlimPay

Beslutsnummer: SAN-2021-020

Beslutsdatum: 2021-12-28

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

30 MAR

Introduktion till AI-förordningen

Få en genomgång av de viktigaste reglerna i nya AI-förordningen och hur AI-system kan användas på ett lagenligt sätt.

20 APR

Privacy by Design & Privacy by Default

En genomgång av de viktigaste åtgärderna för inbyggt dataskydd och dataskydd som standard.

27 APR

Informationssäkerhet & personuppgifter

Få en övergripande introduktion till informationssäkerhet vid behandling av personuppgifter.