תקנות הגנת המידע האירופאיות (GDPR) נאכפות בצרפת. קנס של 400,000 אירו הוטל על-ידי רשות הגנת המידע בצרפת (CNIL) על חברת נדל”ן מקומית בשם SERGIC העוסקת במכירה, השכרה וניהול נכסים.

הקנס הוטל על-ידי הרשות הצרפתית לאחר שזו ביצעה חקירה והגיעה למסקנה, כי החברה הפרה את עקרון מזעור המידע בתקנות האירופיות, הקובע כי על נתונים אישיים שנאספים להיות הולמים למטרה לשמה הם נאספים ולא מעבר לכך, רלוונטיים ומוגבלים לדרוש למען אותה מטרה. הפרת העיקרון התבטאה בכך שהחברה לא העבירה לשמירה בארכיב, נפרד מהמאגר העיקרי, מידע הנדרש למטרת בירור משפטי עתידי. כמו כן, קבעה הרשות, כי החברה לא עמדה בחובת אבטחת המידע לפי סעיף 32 לתקנות.

מהודעת הרשות הצרפתית עולה כי חברת הנדל”ן שספגה את הקנס מפעילה אתר אינטרנט תחת הכתובת:www.sergic.com. האתר מאפשר שמירת מסמכים הדרושים לביצוע עסקאות מקרקעין ומשמש לצורך כך את לקוחות החברה. לרשות הצרפתית הגיעה תלונה בחודש אוגוסט 2018, מאת אחד המשתמשים באתר, שטען כי ניתן לגשת מהאזור האישי באתר למסמכים שנשמרו על-ידי משתמשים אחרים. זאת על ידי שינוי קל של כתובת האתר המוצגת בדפדפן. בהמשך לתלונה ערכה הרשות הצרפתית בדיקה, במהלך חודש ספטמבר 2018, ובעקבותיה הגיעה למסקנה שאכן מסמכים של משתמשים היו נגישים באופן חופשי ללא זיהוי ואימות כנדרש. בין מסמכים אלה היו גם העתקים של תעודות שהונפקו על ידי קרנות פנסיה, צווי גירושין, תעודות זהות, הודעות מס ומידע על חשבונות בנק.

מיד עם פתיחת החקירה התריעה הרשות בפני החברה על הפגם שנמצא באתר האינטרנט שלה. בעקבות התראה זו התברר שהחברה הייתה מודעת לבעיה כבר מחודש מרץ 2018 ולא הביאה לפתרונו, למעט התחלה של פיתוח חלופי. עוד עלה בחקירת הרשות הצרפתית, שמסמכי לקוחות החברה נשמרו למשך תקופה ארוכה מעל ומעבר לדרוש, ביחס למטרה לשמה נאספו. בהקשר לכך קבעה הרשות כי יש לשמור בארכיב נפרד מהמאגר העיקרי ולתקופה הדרושה בלבד, מסמכים אשר שמירתם נחוצה לצורך בירור משפטי עתידי.