CNIL: Πρόστιμο 3.000.000 ευρώ σε δύο εταιρείες του Ομίλου Carrefour για παραβίαση του Γενικού Κανονισμού Προστασίας Δεδομένων
GDPR: Έπειτα από πολλά παράπονα από καταναλωτές για τις πρακτικές των εταιρειών, ως προς την ενημέρωση των χρηστών των διαδικτυακών του τόπων
Η γαλλική Αρχή Προστασίας Δεδομένων CNIL ανακοίνωσε στις 26-11 την επιβολή προστίμου σε δύο εταιρείες του Ομίλου Carrefour, την εταιρεία λιανικού εμπορίου Carrefour France και την τραπεζική Carrefour Banque.
Τα πρόστιμα που επεβλήθησαν, 2.250.000 και 800.000 ευρώ αντίστοιχα, είναι από τα μεγαλύτερα που έχουν επιβληθεί για παραβιάσεις υποχρεώσεων του Γενικού Κανονισμού Προστασίας Δεδομένων, μη σχετιζόμενες με την υποχρέωση ασφάλειας.
Σύμφωνα με το δελτίο τύπου που εκδόθηκε, η CNIL δέχτηκε πολλά παράπονα από πολίτες-καταναλωτές για τις πρακτικές των δύο εταιρειών, ως προς την ενημέρωση των πελατών-χρηστών των διαδικτυακών του τόπων και την ικανοποίηση των δικαιωμάτων τους.
Μετά από την έρευνα που διενεργήθηκε, η CNIL διαπίστωσε την παραβίαση:
1. Της υποχρέωσης ενημέρωσης (άρθρο 13 ΓΚΠΔ).
Οι πληροφορίες που δίνονταν στους επισκέπτες των ιστοτόπων carrefour.fr και carrefour-banque.fr ήταν δύσκολα προσβάσιμες και όχι ευχερώς κατανοητές. Περαιτέρω, δεν γινόταν καμία αναφορά στην περίοδο διατήρησης των δεδομένων, ενώ ειδικά ως προς τον πρώτο ιστότοπο, διαπιστώθηκε η ανεπαρκής ενημέρωση ως προς τη διαβίβαση δεδομένων εκτός Ε.Ε. καθώς και ως προς τη νομική βάση της επεξεργασίας.
2. Της εγκατάστασης των cookies (άρθρο 82 του γαλλικού νόμου Informatique et Libertés).
Η Αρχή διαπίστωσε ότι οι ιστότοποι και των δύο εταιρειών εγκαθιστούσαν cookies αυτόματα, με την απλή επίσκεψη του χρήστη, χωρίς αυτός να προβαίνει σε οποιαδήποτε ενέργεια και χωρίς να έχει ζητηθεί η συγκατάθεσή του, ως προς αυτά που εξυπηρετούσαν προωθητικούς σκοπούς.
3. Της αρχής της περιόδου αποθήκευσης των δεδομένων (άρθρο 5.1ε ΓΚΠΔ).
Η Carrefour France δεν ακολουθούσε τους κανόνες διατήρησης δεδομένων που η ίδια είχε θέσει. Η Αρχή διαπίστωσε ότι τα δεδομένα 28 εκατομμυρίων πελατών και 750.000 χρηστών της ιστοσελίδας της είχαν διατηρηθεί, παρά το γεγονός ότι αυτοί είχαν παραμείνει ανενεργοί για χρονικό διάστημα από 5 έως 10 έτη.
Επίσης, η Αρχή έκρινε ότι η περίοδος διατήρησης δεδομένων επί 4 έτη από την τελευταία τους συναλλαγή, όπως έχει τεθεί από την εταιρεία, είναι υπερβολική, ειδικά δεδομένης της συχνότητας συναλλαγών που χαρακτηρίζει αυτό τον κλάδο εμπορικής δραστηριότητας.
4. Της υποχρέωσης διευκόλυνσης στην άσκηση δικαιωμάτων των υποκειμένων (άρθρο 12 ΓΚΠΔ).
Η Carrefour France ζητούσε υποχρεωτικά, με την εξαίρεση της εναντίωσης σε προωθητικές ενέργειες, την απόδειξη της ταυτότητας του υποκειμένου, προκειμένου να προχωρήσει στην εξέταση οποιουδήποτε αιτήματος του Γενικού Κανονισμού. Η συστηματική αυτή πρακτική κρίθηκε ως μη δικαιολογημένη, καθώς η εταιρεία είχε τον τρόπο να ταυτοποιήσει τα υποκείμενα. Παράλληλα, η Αρχή διαπίστωσε την αδυναμία της εταιρείας να ανταποκριθεί στα αιτήματα εντός των προθεσμιών που τίθενται από το άρθρο 12 ΓΚΠΔ.
5. Της υποχρέωσης σεβασμού των δικαιωμάτων των υποκειμένων (άρθρα 15, 17 και 21 ΓΚΠΔ).
Η Carrefour France δεν απαντούσε σε αιτήματα πρόσβασης, δεν προχωρούσε σε διαγραφή δεδομένων, ενώ δεν λάμβανε υπόψιν της αιτήματα εναντίωσης στη λήψη προωθητικών SMS και emails.
6. Της αρχής νομιμότητας της επεξεργασίας (άρθρο 5 ΓΚΠΔ).
Οι πελάτες της Carrefour Banque, που επιθυμούσαν να συνδέσουν την κάρτα της τράπεζας με το πρόγραμμα προνομίων των πελατών λιανικής, ενημερώνονταν ότι για το σκοπό αυτό θα διαβιβαστούν μόνο το όνομα και η διεύθυνση ηλεκτρονικού ταχυδρομείου τους. Στην πραγματικότητα όμως, οι εταιρείες προχωρούσαν σε επεξεργασία και άλλων πληροφοριών (ταχυδρομική διεύθυνση, αριθμός τηλεφώνου, μέλη οικογένειας), για τις οποίες οι πελάτες δεν είχαν ποτέ ενημερωθεί.
Με βάση τις παρατηρήσεις αυτές, η CNIL προχώρησε στην επιβολή διοικητικού προστίμου σε βάρος των δύο εταιρειών.
Το πρόστιμο αυτό δεν συνοδεύτηκε, όπως συνηθίζεται, από εντολή συμμόρφωσης, καθώς οι εταιρείες είχαν ήδη προχωρήσει αυτοβούλως στις απαραίτητες ενέργειες, ήδη από το στάδιο της διαπίστωσής τους από την Αρχή.
Η απόφαση και το δελτίο τύπου είναι διαθέσιμες στην ιστοσελίδα της γαλλικής αρχής: