skip to Main Content

1,1 milliárdos bírság Franciaországban

A Francia Adatvédelmi Hatóságról (CNIL), legutóbb akkor írtunk, amikor a British Airways és Marriott ellen kiszabott bírságok kapcsán kifejtette, hogy különösen nagy figyelmet fog szentelni azoknak a cégeknek, melyek nagy mennyiségű ügyfél személyes adatait kezelik. Ezzel kapcsolatos mai cikkünk is, melyben beszámolunk a legutóbbi két kiszabott bírságukról, melyeket a Carrefour  cégcsoport két cégével szemben szabták ki.

A két döntésben szereplő bírságok összege 2.250.000 euró (~808 millió Ft) a Carrefour France esetében, mely kiskereskedelemmel foglalkozik, illetve 800.000 euró (~287 millió Ft) a Carrefour Banque esetében, mely a bankszektorban tevékenykedik. A vizsgálat során a cégek az összes kifogásolt hiányosságot orvosolták, ezért a bírság kiszabásán túl a hatóságnak más teendője nem volt az ügy lezárásakor. A Hatóság vizsgálata során az alábbi hiányosságokat tapasztalta:

Érintettek tájékoztatásának elmulasztása (GDPR 13. cikk)

A két cég weboldalán található információk nem voltak egyszerűen hozzáférhetők a felhasználók számára. Akik részt akartak venni az ajánlott hűségprogramban, vagy a „Pass card” szolgáltatásban, sokszor nem jutottak megfelelő információhoz a személyes adatok kezelésével kapcsolatban, mivel azt egy aránytalanul hosszú szövegbe szúrták be, nyelvezete pedig indokolatlanul bonyolult volt.

Az oldalak ezeken túl nem tartalmaztak információt az adatkezelés időtartamáról, és a carrefour.fr oldalon nem volt megtalálható tájékoztatás az Egyesült Államokba történő adattovábbítással kapcsolatban. A cégek az eljárás során megváltoztatták az ezekre vonatkozó információk elérhetőségét és érthetőségét.

Sütikkel kapcsolatos szabályszegések (GDPR 82. cikk)

A vizsgálat során a Hatóság megállapította, hogy mindkét cég weboldala automatikusan sütiket telepít az oldalt felkereső felhasználó eszközére, annak beavatkozása vagy értesítése nélkül, már azelőtt, hogy az ehhez szükséges hozzájárulást beszerezték volna. Ezek a sütik nem az oldal működéséhez voltak szükségesek, hanem célzott hirdetések elősegítése céljából kerültek telepítésre.

A két cég ebben az esetben is már a vizsgálat folyamán változtatott weboldalainak működésén.

Adatkezelés időtartamával kapcsolatos mulasztás (GDPR 5. cikk (1) bekezdés e) pont)

A Carrefour France esetében a CNIL megállapította, hogy a cég nem tartotta be a saját maga által meghatározott adatkezelési időtartamokat sem. Ennek eredményeképp több, mint 28 millió olyan ügyfélről tároltak személyes adatokat, akiknek a felhasználói fiókja több, mint öt éve inaktív volt. Erre a cég szerint hűségprogramjuk működtetése miatt volt szükség. Hasonló volt a helyzet a cég honlapján is, itt 750.000 elavult ügyfél adatait tárolták.

A Hatóság véleménye szerint a cég által korábban előírt 4 éves tárolási idő is túlzó, figyelembe véve, hogy a Carrefour ügyfelei általában rendszeres vásárlók.

Érintettek jogainak gyakorlására vonatkozó helytelen intézkedések (GDPR 12. cikk)

A Carrefour France esetében megállapításra került, hogy a társaság az érintetti jogok gyakorlásának feltételéül szabta a személyazonosság igazolását. A Hatóság szerint ez az eljárás helytelen volt, ugyanis ezekben az esetekben egyrészt nem volt kétséges a kérelem beadójának személyazonossága, másrészt a kérelmek nem indokolták a személyazonosítást. Ezen kívül a Carrefour France több esetben nem tett eleget az érintetti kéréseknek a GDPR-ban meghatározott határidőn belül.

A cég az eljárás alatt megváltoztatta az érintetti kérelmek kezelésével kapcsolatos eljárásrendjét, emellett emberi és szervezeti erőforrásait arra fordította, hogy ezeket a kéréseket legfeljebb egy hónapon belül megválaszolja.

Érintetti jogok teljesítésének elmulasztása (GDPR 15., 17., és 21. cikk)

Szintén a kiskereskedelmi ágazattal kapcsolatban állapította meg a Hatóság, hogy a cég számos hozzáférési kérelmére nem válaszolt. A vizsgálat folyamán ezekkel a személyekkel felvették a kapcsolatot, hogy teljesítsék a kéréseiket.

Számos alkalommal előfordult, hogy a társaság nem teljesítette az érintettek törlési kérelmét, illetve nem vett figyelembe az érintettek tiltakozását a marketing célú megkeresésekkel szemben. A vizsgálat folyamán a Carrefour France teljesítette a törlési kérelmeket, illetve felfüggesztette a kéretlen marketing SMS-ek küldését.

Az adatok tisztességes kezelésére vonatkozó kötelezettség megszegése (GDPR 5. cikk)

Amikor az ügyfelek „Pass cardot” igényeltek és részt kívántak venni a hűségprogramban, a Carrefour Banque azt állította, hogy teljes nevüket és e-mail címüket elküldi a „Carrefour Loyalty” számára. A bank kifejezetten kiemelte, hogy a felsoroltakon kívül más adat nem kerül továbbításra.

A Hatóság azonban megállapította, hogy a bank más adatokat is továbbított, köztük az érintettek levelezési címét, telefonszámát és gyermekei számát. A vizsgálat során a Carrefour Banque megváltoztatta online hűségprogramját, így az érintettek már megfelelő tájékoztatást kapnak kezelt adataik köréről.

Back To Top