Obowiązek informacyjny rodo

KOMPAS FORSAFE 2026/10

Kraj:

Francja

Data wydania decyzji:

22.01.2026 r.

Podmiot kontrolowany:

FRANCE TRAVAIL

Wysokość kary (EUR):

5.000.000

Podstawa prawna naruszenia

Art. 32 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Do naruszenia doszło w wyniku niewłaściwej konfiguracji infrastruktury IT, która umożliwiła publiczny dostęp do zasobów zawierających dane osobowe. FRANCE TRAVAIL nie wdrożył skutecznych mechanizmów kontroli dostępu ani nie monitorował w sposób ciągły ekspozycji danych w środowisku internetowym. Brak adekwatnych zabezpieczeń technicznych i organizacyjnych doprowadził do nieuprawnionego ujawnienia danych oraz zwiększył ryzyko ich dalszego wykorzystania przez osoby trzecie.

 

Opis wydarzeń

  1. Ujawnienie danych w Internecie: Dane osobowe były dostępne w zasobach online bez konieczności logowania lub jakiejkolwiek formy uwierzytelnienia. Dostęp do nich był możliwy poprzez bezpośrednie wpisanie adresu URL lub przy wykorzystaniu standardowych mechanizmów indeksowania przez wyszukiwarki internetowe. Oznacza to, że informacje mogły zostać pozyskane bez przełamywania zabezpieczeń – wystarczył dostęp do sieci.
  2. Charakter i zakres danych: Ujawnione informacje obejmowały dane pozwalające na identyfikację osób fizycznych, w tym dane kontaktowe oraz inne informacje związane z obsługą osób korzystających ze wsparcia FRANCE TRAVAIL. Ze względu na profil działalności tej instytucji, przetwarzane dane dotyczyły osób poszukujących zatrudnienia, co dodatkowo zwiększało wrażliwość sytuacyjną osób, których dane zostały ujawnione. Skala incydentu była znacząca – dotyczyła bardzo dużej liczby rekordów, co przełożyło się na istotne ryzyko dla praw i wolności osób fizycznych.
  3. Długotrwała ekspozycja danych: Francuski organ nadzorczy zwrócił uwagę, że dane pozostawały dostępne publicznie przez określony czas, zanim zostały odpowiednio zabezpieczone. Oznacza to, że administrator nie dysponował skutecznymi mechanizmami pozwalającymi na szybkie wykrycie nieprawidłowej konfiguracji lub nieautoryzowanego dostępu. Brak wczesnej detekcji zwiększał prawdopodobieństwo ich pobrania i dalszego rozpowszechniania.
  4. Błędna konfiguracja systemów: Analiza wykazała, że serwer lub aplikacja nie były prawidłowo skonfigurowane pod kątem ograniczenia dostępu do katalogów i plików zawierających dane osobowe. Nie zastosowano podstawowych środków bezpieczeństwa, takich jak kontrola uprawnień dostępu, segmentacja środowisk, odpowiednie reguły zapory sieciowej czy ograniczenie indeksowania zasobów przez roboty wyszukiwarek. W praktyce oznaczało to brak tzw. twardej konfiguracji infrastruktury.
  5. Brak adekwatnego nadzoru technicznego: Administrator nie prowadził systematycznego monitoringu powierzchni ataku ani regularnych testów bezpieczeństwa pozwalających wykrywać publiczną ekspozycję danych. Nie wykazano istnienia skutecznych procedur kontroli konfiguracji ani cyklicznych audytów środowiska IT. W ocenie francuskiego organu nadzorczego przy skali działalności FRANCE TRAVAIL wymagany był wyższy standard nadzoru technicznego.
  6. Reakcja po wykryciu incydentu: Po ujawnieniu problemu podjęto działania mające na celu ograniczenie dostępu do danych oraz wdrożenie dodatkowych zabezpieczeń. Francuski organ nadzorczy wskazał jednak, że działania te miały charakter reaktywny. Administrator nie wykazał, że wcześniej przeprowadził kompleksową analizę ryzyka ani że wdrożył mechanizmy prewencyjne adekwatne do skali przetwarzania.
  7. Sankcja administracyjna: Francuski organ nadzorczy nałożył administracyjną karę pieniężną w wysokości 5 milionów euro. W uzasadnieniu podkreślono, że publiczna dostępność danych w Internecie stanowi poważne naruszenie obowiązku zapewnienia ich poufności. Wysokość kary uwzględniała zarówno skalę incydentu, jak i charakter administratora jako podmiotu publicznego przetwarzającego dane na dużą skalę.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Wdrożenie skutecznej kontroli dostępu: Stosowanie mechanizmów uwierzytelniania i autoryzacji dla wszystkich zasobów zawierających dane osobowe, w tym środowisk testowych, plików tymczasowych i kopii zapasowych, z uwzględnieniem zasady minimalnych uprawnień.
  2. Twarda konfiguracja infrastruktury IT:Regularny przegląd konfiguracji serwerów, aplikacji i usług sieciowych oraz eliminowanie zbędnych usług i otwartych katalogów. Wdrożenie formalnej procedury zarządzania zmianą w środowisku IT.
  3. Monitorowanie ekspozycji danych w Internecie: Wykorzystanie narzędzi do monitorowania powierzchni ataku (attack surface monitoring), automatycznego skanowania podatności oraz okresowych testów penetracyjnych.
  4. Systematyczna analiza ryzyka: Dokumentowanie i aktualizowanie analizy ryzyka w odniesieniu do kluczowych systemów oraz dostosowywanie zabezpieczeń do charakteru i skali przetwarzania.
  5. Procedura zarządzania incydentami:Zapewnienie jasnych zasad identyfikacji, klasyfikacji i obsługi incydentów bezpieczeństwa, w tym regularne testowanie procedur reagowania.
  6. Stały nadzór nad bezpieczeństwem IT: Prowadzenie cyklicznych audytów technicznych oraz weryfikacja zgodności działań podmiotów przetwarzających z przyjętymi standardami bezpieczeństwa.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. Traktorowej 170. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO