Η CNIL επιβάλλει πρόστιμο στην Carrefour France 2,25 εκατ. € και στην Carrefour Banque 800.000 €

Αφού έλαβε πολλές καταγγελίες, το CNIL (Commission Nationale de l'Informatique et des Libertés - https://www.cnil.fr/en/home) επιβάλλει χρηματική ποινή σε δύο εταιρείες του ομίλου CARREFOUR για παραβάσεις σχετικά με τις πληροφορίες που δόθηκαν σε ιδιώτες και ειδικότερα ως προς τον σεβασμό των δικαιωμάτων τους.

Αφού έλαβε πολλά παράπονα εναντίον του ομίλου #CARREFOUR, η #CNIL πραγματοποίησε επιθεωρήσεις μεταξύ Μαΐου και Ιουλίου 2019 στο CARREFOUR FRANCE (λιανικός τομέας - https://www.carrefour.fr/) και στο CARREFOUR BANQUE (τραπεζικός τομέας - https://www.carrefour-banque.fr/). Η CNIL διαπίστωσε παραβάσεις σχετικά με την επεξεργασία δεδομένων πελατών και δυνητικών χρηστών. Ως εκ τούτου, ο Πρόεδρος της CNIL αποφάσισε να κινήσει διαδικασία κυρώσεων κατά αυτών των εταιρειών.

Στο τέλος αυτής της διαδικασίας, η επιτροπή κυρώσεων CNIL θεώρησε ότι οι εταιρείες δεν είχαν συμμορφωθεί με αρκετές απαιτήσεις του GDPR.

Επιβλήθηκε χρηματική ποινή 2.250.000 € κατά της CARREFOUR FRANCE και 800.000 € έναντι της CARREFOUR BANQUE. Ωστόσο, δεν εξέδωσε διαταγή συμμόρφωσης, καθώς σημείωσε ότι έχουν ήδη καταβληθεί σημαντικές προσπάθειες για την αντιμετώπιση των παραβάσεων.

Παραβάσεις της υποχρέωσης ενημέρωσης ατόμων (άρθρο 13 του ΓΚΠΔ)

Οι πληροφορίες που παρέχονται στους χρήστες των ιστότοπων carrefour.fr και carrefour-banque.fr, καθώς και σε άτομα που επιθυμούν να συμμετάσχουν στο πρόγραμμα πιστότητας πελατών (#LoyaltyProgram) ή στην κάρτα «Pass», δεν ήταν εύκολα προσβάσιμα (η πρόσβαση σε πληροφορίες ήταν πολύ περίπλοκη, τοποθετημένη σε πολύ μακρά έγγραφα που περιέχουν και άλλες πληροφορίες), ούτε εύκολα κατανοητά (πληροφορίες γραμμένες γενικά και ανακριβείς όρους, μερικές φορές χρησιμοποιώντας περιττά περίπλοκη διατύπωση). Επιπλέον, οι πληροφορίες ήταν ελλιπείς σχετικά με τις περιόδους διατήρησης δεδομένων.

Όσον αφορά τον ιστότοπο carrefour.fr, οι πληροφορίες ήταν επίσης ανεπαρκείς όσον αφορά τη μεταφορά δεδομένων εκτός της Ευρωπαϊκής Ένωσης και τη νομική βάση των διαδικασιών επεξεργασίας (αρχεία).

Σε αυτό το σημείο, οι εταιρείες έχουν τροποποιήσει τις πολιτικές απορρήτου και τους ιστότοπούς τους κατά τη διάρκεια της διαδικασίας.

Παραβάσεις σχετικά με τα cookies (άρθρο 82 του Γαλλικού Νόμου περί Προστασίας Δεδομένων)

Το CNIL σημείωσε ότι όταν ένας χρήστης συνδεόταν με τους ιστότοπους carrefour.fr ή carrefour-banque.fr, πολλά cookies τοποθετούνταν αυτόματα στο τερματικό του, πριν από οποιαδήποτε ενέργεια του χρήστη. Λαμβάνοντας υπόψη ότι ορισμένα από αυτά τα cookies χρησιμοποιήθηκαν για διαφημιστικούς σκοπούς, θα έπρεπε να είχε ζητηθεί συναίνεση πριν από την αποθήκευση των cookies στη συσκευή.

Κατά τη διάρκεια της διαδικασίας, οι εταιρείες άλλαξαν τη λειτουργία των ιστοτόπων τους. Τα διαφημιστικά cookies δεν αποθηκεύονται πλέον, πριν ο χρήστης δώσει τη συγκατάθεσή του.

Μη συμμόρφωση με την υποχρέωση περιορισμού της περιόδου διατήρησης δεδομένων (άρθρο 5.1.e του GDPR)

Η εταιρεία CARREFOUR FRANCE δεν τήρησε τις περιόδους διατήρησης δεδομένων που είχε ορίσει. Τα δεδομένα, για περισσότερους από είκοσι οκτώ εκατομμύρια πελάτες που ήταν αδρανείς για πέντε έως δέκα χρόνια, διατηρήθηκαν ως μέρος του προγράμματος αφοσίωσης. Το ίδιο ισχύει και για 750.000 χρήστες της ιστοσελίδας carrefour.fr που ήταν αδρανείς για πέντε έως δέκα χρόνια.

Επιπλέον, σε αυτήν την περίπτωση, η επιτροπή κυρώσεων θεωρεί ότι είναι υπερβολικό να διατηρούνται δεδομένα πελατών για 4 χρόνια μετά την τελευταία αγορά. Πράγματι, αυτή η διάρκεια, η οποία επιλέχθηκε αρχικά από την εταιρεία, υπερβαίνει αυτό που φαίνεται απαραίτητο στον τομέα της μαζικής διανομής, λαμβάνοντας υπόψη τις καταναλωτικές συνήθειες των πελατών που πραγματοποιούν κυρίως τακτικές αγορές.

Κατά τη διάρκεια της διαδικασίας, η CARREFOUR FRANCE δέσμευσε σημαντικούς πόρους για να κάνει τις απαραίτητες αλλαγές και να συμμορφωθεί με τον GDPR. Συγκεκριμένα, διαγράφηκαν παλαιότερα δεδομένα.

Μη συμμόρφωση με την υποχρέωση διευκόλυνσης της άσκησης δικαιωμάτων των υποκειμένων (άρθρο 12 του ΓΚΠΔ)

Η εταιρεία CARREFOUR FRANCE απαιτούσε, εκτός από την αντίθεση στην εμπορική αναζήτηση, απόδειξη ταυτότητας για οποιοδήποτε αίτημα άσκησης δικαιώματος. Αυτό το συστηματικό αίτημα δεν ήταν δικαιολογημένο, καθώς δεν υπήρχε αμφιβολία για την ταυτότητα των ατόμων που ασκούν τα δικαιώματά τους. Επιπλέον, η εταιρεία δεν μπόρεσε να επεξεργαστεί πολλά αιτήματα για την άσκηση δικαιωμάτων εντός των προθεσμιών που απαιτούνται από τον GDPR.

Σε αυτά τα δύο σημεία, η εταιρεία άλλαξε τις πρακτικές της κατά τη διάρκεια της διαδικασίας. Συγκεκριμένα, χρησιμοποίησε σημαντικούς ανθρώπινους και οργανωτικούς πόρους για να ανταποκριθεί σε όλα τα αιτήματα που ελήφθησαν σε λιγότερο από ένα μήνα.

Αδυναμία σεβασμού των δικαιωμάτων (άρθρα 15, 17 και 21 του GDPR και L34-5 του Γαλλικού Κώδικα Ταχυδρομικών και Ηλεκτρονικών Επικοινωνιών)

Πρώτα απ' όλα , η εταιρεία CARREFOUR FRANCE δεν είχε απαντήσει σε πολλά αιτήματα από άτομα που επιθυμούσαν να έχουν πρόσβαση στα προσωπικά τους δεδομένα. Η εταιρεία προσέγγισε όλα τα ενδιαφερόμενα άτομα κατά τη διάρκεια της διαδικασίας.

Στη συνέχεια, σε πολλές περιπτώσεις, η εταιρεία δεν προχώρησε στη διαγραφή δεδομένων που ζητήθηκαν από πολλά άτομα, όταν θα έπρεπε να το είχε πράξει. Σε αυτό το σημείο, επίσης, η εταιρεία ανταποκρίθηκε σε όλα τα αιτήματα κατά τη διάρκεια της διαδικασίας.

Τέλος, η εταιρεία δεν έλαβε υπόψη πολλά αιτήματα από άτομα που αντιτάχθηκαν στη διαφήμιση μέσω SMS ή μέσω ηλεκτρονικού ταχυδρομείου, ιδίως λόγω συγκεκριμένων τεχνικών σφαλμάτων. Η εταιρεία συμμορφώθηκε και κατά τη διαδικασία σε αυτό το σημείο.

Μη συμμόρφωση με την υποχρέωση δίκαιης επεξεργασίας δεδομένων (άρθρο 5 του RGPD (Règlement Général sur la Protection des Données) ή GDPR)

Όταν ένα άτομο εγγραφόταν στην κάρτα «Pass» (πιστωτική κάρτα που μπορεί να συνδεθεί στο λογαριασμό του Loyalty Program) και ήθελε, επίσης, να ενταχθεί στο πρόγραμμα πιστότητας πελατών, έπρεπε να τικάρει το πλαίσιο που υποδείκνυε ότι δεχόταν ότι η CARREFOUR BANQUE θα κοινοποιούσε στο πρόγραμμα πιστότητας της Carrefour το επώνυμο, το όνομα και τη διεύθυνση email του. Το CARREFOUR BANQUE ανέφερε ρητά ότι δεν θα διαβιβάζονταν άλλα δεδομένα. Ωστόσο, η CNIL σημείωσε ότι διαβιβάζονταν και άλλα δεδομένα, όπως η ταχυδρομική διεύθυνση, ο αριθμός τηλεφώνου και ο αριθμός των παιδιών, ακόμη και όταν η εταιρεία δεσμευόταν να μην μεταδώσει άλλα δεδομένα.

Σε αυτό το σημείο, η εταιρεία άλλαξε τις πρακτικές της κατά τη διάρκεια της διαδικασίας. Έχει αναθεωρήσει πλήρως τη διαδικτυακή διαδικασία εγγραφής της για την κάρτα «Pass» και τα άτομα ενημερώνονται πλέον για όλα τα δεδομένα που διαβιβάζονται στην CARREFOUR FRANCE.

Το πρωτότυπο άρθρο καθώς και τις αντίστοιχες αποφάσεις που εξέδωσε η CNIL, μπορείτε να τα βρείτε εδώ

#gdpr #cnil #carrefour #fines #dataprotection #privacy #dataprivacy #cybersecurity #compliance #datasecurity #dpo #iso #data #gdprcompliance #direitodigital #informationsecurity #security #cyber #databreach #business #protect #tecnology #crete #chania #nousgdpr