Πρόστιμο 150.000 ευρώ επέβαλε η γαλλική αρχή προστασίας δεδομένων (CNIL) σε εταιρεία μελλοντολογικών προβλέψεων που παρείχε υπηρεσίες μέσω τηλεφώνου και chat.
H CNIL διεξήγαγε έρευνα στην εταιρεία, μετά από δημοσίευμα του τύπου σχετικά με την παραβίαση δεδομένων πελατών της. Από τις έρευνες αυτές προέκυψε η μη συμμόρφωση με σειρά απαιτήσεων του Γενικού Κανονισμού Προστασίας Δεδομένων, αλλά και των κανόνων της εθνικής νομοθεσίας για τα cookies.
Διαπιστώσεις της γαλλικής αρχής
Η γαλλική αρχή διαπίστωσε ότι ο υπεύθυνος επεξεργασίας παραβίασε πολλαπλές διατάξεις του ΓΚΠΔ.
Ειδικότερα,
1) Παραβίαση της αρχής της ελαχιστοποίησης των δεδομένων (άρθρο 5 παρ.1γ’ ΓΚΠΔ), καθώς η εταιρεία συνέλεγε υπερβολικά δεδομένα σε σχέση με τους σκοπούς της. Πιο συγκεκριμένα, η εταιρεία κατέγραφε συστηματικά όλες τις τηλεφωνικές κλήσεις τόσο μεταξύ των υποψήφιων πελατών και των εκπροσώπων της, όσο και μεταξύ των μελλοντολόγων και των πελατών της.
Η εταιρεία δεν αιτιολόγησε την ανάγκη καταγραφής όλων των κλήσεων, με την CNIL να κρίνει πως υπήρχαν λιγότερο παρεμβατικά μέσα για την επίτευξη των διαφορετικών σκοπών που αυτή είχε προσδιορίσει, μεταξύ αυτών η απόδειξη σύναψης σύμβασης και ο έλεγχος ποιότητας των παρεχομένων υπηρεσιών. Επιπλέον, κατά τη διάρκεια των κλήσεων που καταγράφονταν, οι πελάτες γνωστοποιούσαν τα στοιχεία της τραπεζικής κάρτας τους. Ο υπεύθυνος επεξεργασίας δεν είχε μεριμνήσει για τη διακοπή καταγραφής των κλήσεων κατά τη διάρκεια αυτής της κοινοποίησης δεδομένων, παρόλο που τα δεδομένα αυτά δεν ήταν συναφή προς τους σκοπούς που είχε προσδιορίσει.
2) Παραβίαση της αρχής του περιορισμού της περιόδου αποθήκευσης (άρθρο 5 παρ.1ε’ ΓΚΠΔ), καθώς η εταιρεία διατηρούσε δεδομένα πελατών για υπερβολικά μεγάλο χρονικό διάστημα μετά τη λήξη της συμβατικής σχέσης. Κατά τη διάρκεια της έρευνας, η βάση δεδομένων του υπευθύνου επεξεργασίας περιελάμβανε δεδομένα πελατών, οι οποίοι δεν είχαν λάβει μελλοντολογικές συμβουλές για περισσότερα από τρία έτη, έως και πέντε έτη, χωρίς να τεκμηριώνεται η ανάγκη διατήρησης των δεδομένων αυτών σε σχέση με την ύπαρξη πίστωσης στον λογαριασμό τους.
3) Μη επίκληση νομικής βάσης του άρθρου 6 ΓΚΠΔ ως προς τη διατήρηση δεδομένων καρτών. Ο υπεύθυνος επεξεργασίας διατηρούσε τα στοιχεία των καρτών πληρωμής των πελατών του, μετά την ολοκλήρωση των συναλλαγών, προκειμένου να διευκολύνει την αγορά πρόσθετης πίστωσης, χωρίς όμως να έχει λάβει τη συγκατάθεσή τους για τον σκοπό αυτό. Σύμφωνα με την CNIL, η εν λόγω δραστηριότητα δεν θα μπορούσε να θεμελιώνεται στην αναγκαιότητα εκτέλεσης της σύμβασης.
4) Παραβίαση του άρθρου 9 ΓΚΠΔ. Κατά την παροχή υπηρεσιών μέντιουμ, η εταιρεία συνέλεγε και επεξεργαζόταν ευαίσθητα δεδομένα πελατών (δηλαδή δεδομένα σχετικά με την υγεία και δεδομένα σχετικά με τον σεξουαλικό προσανατολισμό) χωρίς την προηγουμένως δοθείσα ρητή συγκατάθεση των υποκειμένων των δεδομένων. Η CNIL απέρριψε το επιχείρημα του υπεύθυνου επεξεργασίας, σύμφωνα με το οποίο η αυθόρμητη επικοινωνία με μέντιουμ και η αποκάλυψη ευαίσθητων δεδομένων κατά τη διάρκεια της κλήσης ισοδυναμούν με ρητή συγκατάθεση εκ μέρους του πελάτη. Για να θεωρείται μια συγκατάθεση «εν πλήρει επιγνώσει», τα υποκείμενα των δεδομένων πρέπει πρώτα να λαμβάνουν συγκεκριμένες πληροφορίες σχετικά με τη δραστηριότητα επεξεργασίας, πράγμα που δεν συνέβαινε στη συγκεκριμένη περίπτωση.
5) Παραβίαση των υποχρεώσεων διαφάνειας των άρθρων 12 και 13 ΓΚΠΔ. Οι πληροφορίες που παρέχονταν δεν ήταν εύκολα προσβάσιμες, καθώς οι χρήστες έπρεπε να ανατρέξουν στην κεντρική σελίδα της εταιρείας και να τις αναζητήσουν οι ίδιοι στο κάτω μέρος αυτής. Εκτός του ότι πληροφορίες δεν δίνονταν απευθείας κατά τη διαδικασία εγγραφής, περιλαμβάνονταν και σε κείμενο που αναφερόταν ως κείμενο όρων και προϋποθέσεων. Επιπροσθέτως, η ενημέρωση που παρεχόταν ήταν και ελλιπής, καθώς δεν περιελάμβανε όλες τις πληροφορίες που απαιτούνται από το άρθρο 13 ΓΚΠΔ.
6) Παραβίαση των απαιτήσεων του άρθρου 28 ΓΚΠΔ για το συμφωνητικό με εκτελούντες την επεξεργασία. Τα συμφωνητικά επεξεργασίας που προσκομίστηκαν δεν είχαν υπογραφεί από όλα τα συμβαλλόμενα μέρη και δεν περιλάμβαναν όλες τις πληροφορίες που προβλέπονται στο άρθρο 28 παράγραφος 3 ΓΚΠΔ. Κατά συνέπεια, κρίθηκε πως οι συμβατικές εγγυήσεις δεν ήταν επαρκείς.
7) Παραβίαση του άρθρου 32 ΓΚΠΔ καθώς η εταιρεία δεν είχε λάβει βασικά μέτρα ασφαλείας. Η εταιρεία χρησιμοποιούσε μη ασφαλείς κωδικούς πρόσβασης για τους λογαριασμούς χρηστών (τόσο για τους πελάτες όσο και για τους υπαλλήλους της) και χρησιμοποιούσε πρωτόκολλο http αντί για το https. Επίσης, χρησιμοποιούσε μηχανισμό κρυπτογράφησης τραπεζικών δεδομένων που παρουσίαζε ευπάθειες.
8) Παραβίαση του άρθρου 33 ΓΚΠΔ. Μολονότι η εταιρεία γνώριζε την ύπαρξη παραβίασης δεδομένων, την οποία και κατέγραψε στο οικείο εσωτερικό αρχείο της, παρέλειψε να ενημερώσει σχετικά την αρμόδια εποπτική αρχή. Σύμφωνα με την CNIL, ο υπεύθυνος επεξεργασίας είχε εύλογο βαθμό βεβαιότητας ότι η συντελεσθείσα παραβίαση προκαλούσε κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, ιδίως δεδομένης της διάρκειας της παραβίασης (δηλ. δύο μήνες και τέσσερις ημέρες) και του δυνητικά μεγάλου αριθμού υποκειμένων των δεδομένων. Η υποχρέωση κοινοποίησης στην αρμόδια αρχή ισχύει ακόμη και αν η παραβίαση προκλήθηκε από σφάλμα που μπορεί να αποδοθεί στον εκτελούντα την επεξεργασία.
Απόφαση
Με βάση τις ανωτέρω διαπιστώσεις, η CNIL επέβαλε στην εταιρεία αστρολογικών προβλέψεων διοικητικό πρόστιμο ύψους 120.000 ευρώ για την παραβίαση των άρθρων 5 παρ.1γ’ και ε’, 6, 9, 12, 13, 28, 32 και 33 ΓΚΠΔ και 30.000 ευρώ για την παραβίαση του άρθρου 82 της γαλλικής νομοθεσίας, που ρυθμίζει τη νομιμότητα εγκατάστασης των cookies.
Για τον καθορισμό του ύψους του διοικητικού προστίμου, ελήφθη υπόψιν ο ιδιαίτερα υψηλός αριθμός των παραβάσεων του Γενικού Κανονισμού, το γεγονός ότι αυτές αφορούσαν και ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα, καθώς και ο μεγάλος αριθμός υποκειμένων των δεδομένων. Επίσης, ελήφθη υπόψιν την οικονομική κατάσταση του υπευθύνου επεξεργασίας και το γεγονός ότι απασχολούσε λίγους υπαλλήλους.
Από τη σύνοψη της γαλλικής αρχής
Πηγή: Lawpsot.gr