Francuski organ ochrony danych (CNIL) nałożył karę administracyjną na instytucję płatniczą. Działania firmy doprowadziły do naruszenia danych osobowych należących do ponad 12 milionów osób.
SlimPay SA oferuje swoim klientom rozwiązania w zakresie płatności cyklicznych. W listopadzie 2015 r. firma rozpoczęła wewnętrzny projekt badawczy, podczas którego wykorzystała dane osobowe zawarte w swoich bazach danych. Projekt badawczy zakończył się w lipcu 2016 r., jednak wykorzystane w nim dane były nadal przechowywane na serwerze, który, jak wykazano w toku kontroli, nie był zabezpieczony w odpowiedni sposób. Dane osobowe znajdujące się na serwerze były ogólnodostępne, wgląd do nich mogli uzyskać postronni użytkownicy Internetu. Administrator spostrzegł swój błąd dopiero w lutym 2020 r.
CNIL stwierdził, że SlimPay SA nie zapewniła odpowiednich środków ochrony danych osobowych, które były łatwo dostępne od listopada 2015 r. do lutego 2020 r. Naruszenie dotyczyło imion i nazwisk, adresów, adresów e-mail, numerów telefonów, numerów rachunków bankowych. Ponadto organ nadzorczy ustalił, że SlimPay SA jako administrator danych osobowych nie zawarł stosownych umów powierzenia przetwarzania z dostawcami usług, które wymagały bezpośredniego dostępu do danych.
Biorąc pod uwagę charakter naruszonych danych osobowych, liczbę osób, których dotyczyło naruszenie oraz możliwe negatywne konsekwencje dla tych osób (m. in. ryzyko phishingu lub kradzieży tożsamości), ryzyko związane z naruszeniem należało uznać za wysokie. W związku z powyższym CNIL postanowił nałożyć na SlimPay SA grzywnę we wskazanej wysokości oraz biorąc pod uwagę powagę ryzyko naruszeń, ich dotkliwość, postanowił również opublikować swoją decyzję.