1,1 milliárdos bírság Franciaországban
A Francia Adatvédelmi Hatóságról (CNIL), legutóbb akkor írtunk, amikor a British Airways és Marriott ellen kiszabott bírságok kapcsán kifejtette, hogy különösen nagy figyelmet fog szentelni azoknak a cégeknek, melyek nagy mennyiségű ügyfél személyes adatait kezelik. Ezzel kapcsolatos mai cikkünk is, melyben beszámolunk a legutóbbi két kiszabott bírságukról, melyeket a Carrefour cégcsoport két cégével szemben szabták ki.
A két döntésben szereplő bírságok összege 2.250.000 euró (~808 millió Ft) a Carrefour France esetében, mely kiskereskedelemmel foglalkozik, illetve 800.000 euró (~287 millió Ft) a Carrefour Banque esetében, mely a bankszektorban tevékenykedik. A vizsgálat során a cégek az összes kifogásolt hiányosságot orvosolták, ezért a bírság kiszabásán túl a hatóságnak más teendője nem volt az ügy lezárásakor. A Hatóság vizsgálata során az alábbi hiányosságokat tapasztalta:
Érintettek tájékoztatásának elmulasztása (GDPR 13. cikk)
A két cég weboldalán található információk nem voltak egyszerűen hozzáférhetők a felhasználók számára. Akik részt akartak venni az ajánlott hűségprogramban, vagy a „Pass card” szolgáltatásban, sokszor nem jutottak megfelelő információhoz a személyes adatok kezelésével kapcsolatban, mivel azt egy aránytalanul hosszú szövegbe szúrták be, nyelvezete pedig indokolatlanul bonyolult volt.
Az oldalak ezeken túl nem tartalmaztak információt az adatkezelés időtartamáról, és a carrefour.fr oldalon nem volt megtalálható tájékoztatás az Egyesült Államokba történő adattovábbítással kapcsolatban. A cégek az eljárás során megváltoztatták az ezekre vonatkozó információk elérhetőségét és érthetőségét.
Sütikkel kapcsolatos szabályszegések (GDPR 82. cikk)
A vizsgálat során a Hatóság megállapította, hogy mindkét cég weboldala automatikusan sütiket telepít az oldalt felkereső felhasználó eszközére, annak beavatkozása vagy értesítése nélkül, már azelőtt, hogy az ehhez szükséges hozzájárulást beszerezték volna. Ezek a sütik nem az oldal működéséhez voltak szükségesek, hanem célzott hirdetések elősegítése céljából kerültek telepítésre.
A két cég ebben az esetben is már a vizsgálat folyamán változtatott weboldalainak működésén.
Adatkezelés időtartamával kapcsolatos mulasztás (GDPR 5. cikk (1) bekezdés e) pont)
A Carrefour France esetében a CNIL megállapította, hogy a cég nem tartotta be a saját maga által meghatározott adatkezelési időtartamokat sem. Ennek eredményeképp több, mint 28 millió olyan ügyfélről tároltak személyes adatokat, akiknek a felhasználói fiókja több, mint öt éve inaktív volt. Erre a cég szerint hűségprogramjuk működtetése miatt volt szükség. Hasonló volt a helyzet a cég honlapján is, itt 750.000 elavult ügyfél adatait tárolták.
A Hatóság véleménye szerint a cég által korábban előírt 4 éves tárolási idő is túlzó, figyelembe véve, hogy a Carrefour ügyfelei általában rendszeres vásárlók.
Érintettek jogainak gyakorlására vonatkozó helytelen intézkedések (GDPR 12. cikk)
A Carrefour France esetében megállapításra került, hogy a társaság az érintetti jogok gyakorlásának feltételéül szabta a személyazonosság igazolását. A Hatóság szerint ez az eljárás helytelen volt, ugyanis ezekben az esetekben egyrészt nem volt kétséges a kérelem beadójának személyazonossága, másrészt a kérelmek nem indokolták a személyazonosítást. Ezen kívül a Carrefour France több esetben nem tett eleget az érintetti kéréseknek a GDPR-ban meghatározott határidőn belül.
A cég az eljárás alatt megváltoztatta az érintetti kérelmek kezelésével kapcsolatos eljárásrendjét, emellett emberi és szervezeti erőforrásait arra fordította, hogy ezeket a kéréseket legfeljebb egy hónapon belül megválaszolja.
Érintetti jogok teljesítésének elmulasztása (GDPR 15., 17., és 21. cikk)
Szintén a kiskereskedelmi ágazattal kapcsolatban állapította meg a Hatóság, hogy a cég számos hozzáférési kérelmére nem válaszolt. A vizsgálat folyamán ezekkel a személyekkel felvették a kapcsolatot, hogy teljesítsék a kéréseiket.
Számos alkalommal előfordult, hogy a társaság nem teljesítette az érintettek törlési kérelmét, illetve nem vett figyelembe az érintettek tiltakozását a marketing célú megkeresésekkel szemben. A vizsgálat folyamán a Carrefour France teljesítette a törlési kérelmeket, illetve felfüggesztette a kéretlen marketing SMS-ek küldését.
Az adatok tisztességes kezelésére vonatkozó kötelezettség megszegése (GDPR 5. cikk)
Amikor az ügyfelek „Pass cardot” igényeltek és részt kívántak venni a hűségprogramban, a Carrefour Banque azt állította, hogy teljes nevüket és e-mail címüket elküldi a „Carrefour Loyalty” számára. A bank kifejezetten kiemelte, hogy a felsoroltakon kívül más adat nem kerül továbbításra.
A Hatóság azonban megállapította, hogy a bank más adatokat is továbbított, köztük az érintettek levelezési címét, telefonszámát és gyermekei számát. A vizsgálat során a Carrefour Banque megváltoztatta online hűségprogramját, így az érintettek már megfelelő tájékoztatást kapnak kezelt adataik köréről.