Kara finansowa CNIL dla firmy e-commerce za naruszenia RODO

  • 12.08.2020

  • Autor: Joanna Noga-Bogomilska

  • sankcje

Ostatnio pisaliśmy o licznych karach nałożonych przez hiszpański organ nadzorczy (link). Tymczasem tegoroczne wakacje pracowite są również dla francuskiego organu nadzorczego. CNIL (Commission Nationale de l’Informatique et des Libertés) nałożył dość wysoką karę finansową na firmę o nazwie SPARTOO. Firma ta specjalizuje się w sprzedaży obuwia na odległość. Sprzedaż prowadzona jest w 13 krajach Unii Europejskiej, w tym na rynku polskim. Co ciekawe kara została nałożona w wyniku współpracy z innymi europejskimi organami nadzorczymi.

Decyzja CNIL owocem kontroli przeprowadzonej tuż po rozpoczęciu obowiązywania RODO

 CNIL przeprowadził kontrolę firmy w maju 2018 roku, czyli bezpośrednio po rozpoczęciu obowiązywania RODO. Organ nadzorczy wykrył naruszenia dotyczące danych osobowych klientów, potencjalnych klientów a także pracowników.  W 2019 roku CNIL zdecydował o wszczęciu postępowania wobec spółki . Kara finansowa nałożona na spółkę to 250 000 Euro.

Zarzuty wobec spółki 

Na podstawie przeprowadzonego postępowania CNIL uznał, że ​​doszło do naruszenia:

  •   zasady minimalizacji danych
  •   obowiązku ograniczenia okresu przechowywania danych (tzw. retencji danych)
  •   obowiązku informowania osób, których dane dotyczą
  •   obowiązku zapewnienia bezpieczeństwa danych

Naruszenie zasady minimalizacji danych. Organ uznał za nadmierne i nieuzasadnione pełne i trwałe nagrywanie rozmów telefonicznych odbieranych przez pracowników obsługi klienta.  Zdaniem organu brak zasadności wynikał z faktu, że osoba odpowiedzialna za szkolenie pracowników odsłuchiwała tylko jedno nagranie tygodniowo na pracownika. Dla celu szkolenia pracowników nie było konieczne zdaniem CNIL również rejestrowanie i przechowywanie danych bankowych klientów, które są przekazywane podczas telefonicznego składania zamówień. Organ podkreślił w decyzji, że dane bankowe ze względu na swój charakter i związane z tym ryzyko oszustwa muszą być chronione we wzmożony sposób.  W kontekście walki z oszustwami za nadmierne uznano również gromadzenie m.in. kopii „kart zdrowia” (tessera sanitaria) klientów, tym bardziej, że firma nie była w stanie wykazać niezbędności tego dokumentu do walki z oszustwami.

Naruszenie obowiązku ograniczenia okresu przechowywania danych. Firma nie określiła okresu przechowywania danych klientów i potencjalnych klientów, a co za tym idzie nie usuwała ani nie archiwizowała regularnie danych osobowych.  Zdaniem organu nadzorczego, nie było między innymi uzasadnienia dla przechowywania danych potencjalnych klientów przez okres pięciu lat od ostatniej aktywności – za taką aktywność uznawano np. otwarcie elektronicznego biuletynu. Organ ustalił, że firma nie kieruje działań komercyjnych do potencjalnych klientów, jeśli nie wykazują oni zainteresowania jej produktami lub usługami już po upływie dwóch lat od ostatniej aktywności. Organ zwrócił ponadto uwagę, że samo otwarcie pliku, np. wspomnianego Biuletynu, przez osobę, której dane dotyczą nie daje możliwości wykazania, że ​​jest ona zainteresowana produktami lub usługami firmy, bowiem do otwarcia pliku mogło dojść przypadkowo. W takich przypadkach, zdaniem organu, liczenie terminu przechowywania danych od daty tak rozumianej aktywności, nie było uzasadnione.

 Naruszenie obowiązku informowania osób, których dane dotyczą. Informacje zawarte w Polityce prywatności serwisu organ uznał za niespójne. Firma nie wykazała, że zgoda jest podstawą prawną wszystkich przeprowadzanych operacji przetwarzania. Z analizy organu wynikało, że wiele operacji przetwarzania opiera się na innych podstawach prawnych, takich jak umowa lub prawnie uzasadnione interesy realizowane przez firmę. Za niewystarczające uznano również informacje przekazane pracownikom firmy dotyczące nagrywania rozmów telefonicznych prowadzonych przez nich z klientami. Pracownicy nie byli informowani o celu przetwarzania, podstawie prawnej, odbiorcach danych, okresie przechowywania danych oraz o przysługujących im prawach.

 Naruszenie obowiązku zapewnienia bezpieczeństwa danych. Za jeden z przejawów naruszenia bezpieczeństwa danych osobowych CNIL uznał stosowanie zbyt prostych haseł dostępu do kont użytkowników. Wymagane hasła mogły być złożone z 6 cyfr zawierających tylko jeden rodzaj znaków. Organ uznał, że firma powinna wymusić na użytkownikach kont hasła bardziej skomplikowane.

Podsumowanie i wnioski końcowe

 Wykryte naruszenia dotyczyły zasadniczych wymogów w zakresie ochrony danych osobowych. Jak zauważył francuski organ nadzorczy naruszenia dotyczyły wymogów obowiązujących także przed rozpoczęciem obowiązywania RODO.

Bazując na zarzutach postawionych w tej sprawie warto sprawdzić, czy Twoja firma:

 przetwarza tylko takie dane, które są niezbędne do celu przetwarzania

 określiła zasady i terminy przechowywania danych oraz czy ich przestrzega

 prawidłowo realizuje obowiązek informacyjny (wobec właściwych osób oraz czy w wymaganym zakresie)

  odpowiednio zabezpiecza dane osobowe – pamiętając, że stopień i sposób zabezpieczenia powinien uwzględniać w szczególności rodzaj danych oraz ryzyko związane  z ich naruszeniem.

 

Źródła:

https://www.cnil.fr/fr/spartoo-sanction-de-250-000-euros-et-injonction-sous-astreinte-de-se-conformer-au-rgpd

https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000042203965&fastReqId=655302508&fastPos=1

 

Autor

Joanna Noga-Bogomilska

Radca prawny, specjalista z zakresu prawa ochrony danych osobowych. Doświadczenie zdobywała w warszawskich kancelariach prawnych a także w organach administracji publicznej. Prowadzi audyty zgodności z RODO, a także pełni funkcję Inspektora Ochrony Danych.

Z tej samej kategorii

Kategorie