logo-print

Σύστημα γεωεντοπισμού σε ενοικιαζόμενα σκούτερ: Πρόστιμο 125.000 ευρώ για παραβίαση της ιδιωτικότητας των χρηστών

Η γαλλική αρχή προστασίας δεδομένων διαπίστωσε την παραβίαση της αρχής της ελαχιστοποίησης λόγω της συχνότητας συλλογής των δεδομένων και την παραβίαση της Οδηγίας e-Privacy κατά τη χρήση του reCAPTCHA

Η αστική ευθύνη του οδικού μεταφορέα κατά τη CMR
Δίκαιο πληροφορικής - E έκδοση

Στο πλαίσιο στοχευμένων ελεγκτικών παρεμβάσεών της σε συγκεκριμένους θεματικούς τομείς που ενέχουν αυξημένους κινδύνους για τα δικαιώματα των πολιτών, η γαλλική αρχή προστασίας δεδομένων CNIL διεξήγαγε έρευνες σε εταιρείες που χρησιμοποιούν υπηρεσίες γεωγραφικού εντοπισμού.

Μια από τις εταιρείες αυτές ήταν η εταιρεία CITYSCOOT, η οποία δραστηριοποιείται στην ενοικίαση σκούτερ. Οι έρευνες της CNIL επικεντρώθηκαν στα δεδομένα που συλλέγονται καθώς και στην ενημέρωση και τη συγκατάθεση των χρηστών πριν από την επεξεργασία τεχνικών πληροφοριών στο κινητό τους τηλέφωνο ή τον υπολογιστή τους.

Η γαλλική αρχή διαπίστωσε ότι κατά τον χρόνο ενοικίασης ενός σκούτερ από ιδιώτη, η εταιρεία συνέλεγε δεδομένα γεωγραφικού εντοπισμού του οχήματος ανά 30 δευτερόλεπτα, ενώ τηρούσε και αρχείο διαδρομών.

Βάσει των ευρημάτων αυτών, η CNIL επέβαλε διοικητικό πρόστιμο ύψους 125.000 ευρώ στην CITYSCOOT, το οποίο και δημοσιοποίησε στις 29 Μαρτίου. Η απόφαση αυτή ελήφθη σε συνεργασία με τις εποπτικές αρχές της Ιταλίας και της Ισπανίας, καθώς η CITYSCOOT παρέχει υπηρεσίες και στις χώρες αυτές.

Οι παραβάσεις που διαπιστώθηκαν

1. Μη συμμόρφωση με την υποχρέωση ελαχιστοποίησης των δεδομένων (άρθρο 5.1.γ ΓΚΠΔ)

Η εταιρεία συνέλεγε δεδομένα γεωεντοπισμού των οχημάτων της για διάφορους σκοπούς, όπως για: διαχείριση τροχαίων παραβάσεων, εξυπηρέτηση παραπόνων πελατών, υποστήριξη χρηστών και παροχή συνδρομής σε περίπτωση πτώσης από το όχημα, διαχείριση απαιτήσεων και κλοπών.

Αναλύοντας τη χρήση των δεδομένων γεωεντοπισμού για καθέναν από τους σκοπούς που προέβαλε η CITYSCOOT, η CNIL έκρινε ότι κανένας από αυτούς τους σκοπούς δεν δικαιολογούσε τη συλλογή δεδομένων γεωεντοπισμού με αυτή την ακρίβεια.

Μια τέτοια πρακτική κρίθηκε πως είναι υπερβολικά παρεμβατική στην ιδιωτικότητα των χρηστών, καθώς είναι πιθανό να αποκαλύψει τις μετακινήσεις τους, τις τοποθεσίες όπου συχνάζουν ή ακόμη και όλες τις στάσεις που πραγματοποίησαν κατά τη διάρκεια μιας διαδρομής.

Η εταιρεία θα μπορούσε να προσφέρει μια παρόμοια υπηρεσία χωρίς τον διαρκή γεωεντοπισμό των πελατών της. Συνεπώς, η CITYSCOOT δεν τήρησε την αρχή της ελαχιστοποίησης των δεδομένων, που προβλέπει ότι τα δεδομένα πρέπει να είναι κατάλληλα, συναφή και να περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία.

2. Μη συμμόρφωση με την υποχρέωση συμβατικής ρύθμισης των πράξεων επεξεργασίας που εκτελεί ο εκτελών την επεξεργασία (άρθρο 28 παρ. 3 ΓΚΠΔ).

Η CNIL διαπίστωσε ότι τρεις συμβάσεις που είχαν συναφθεί με τους εκτελούντες την επεξεργασία της CITYSCOOT δεν περιελάμβαναν όλες τις πληροφορίες που απαιτούνται από τον ΓΚΠΔ.

Οι συμβάσεις αυτές πρέπει να περιλαμβάνουν ορισμένες θεμελιώδεις ρήτρες, όπως για παράδειγμα σχετικά με τα δεδομένα που συλλέγονται, τα μέτρα ασφαλείας που εφαρμόζονται ή την τύχη των δεδομένων σε περίπτωση λήξης των συμβάσεων.

3. Παράλειψη ενημέρωσης των χρηστών και λήψης της συγκατάθεσής τους πριν από την εγγραφή και ανάγνωση πληροφοριών στην προσωπική του συσκευή (άρθρο 82 του γαλλικού νόμου περί προστασίας δεδομένων)

Η CITYSCOOT χρησιμοποιούσε το σύστημα reCAPTCHA της GOOGLE κατά τη δημιουργία λογαριασμού στην εφαρμογή για κινητά, καθώς και κατά τη σύνδεση ή την επαναφορά κωδικού πρόσβασης στον ιστότοπό της. Το σύστημα αυτό λειτουργεί συλλέγοντας πληροφορίες hardware και software του χρήστη (όπως δεδομένα συσκευής και εφαρμογής).

Μολονότι τα δεδομένα που συλλέγονταν, διαβιβάζονταν στη GOOGLE για ανάλυση, η εταιρεία δεν παρείχε καμία ενημέρωση στους χρήστες για αυτό και δεν έλαβε την προηγούμενη συγκατάθεσή τους, τόσο για την απόκτηση πρόσβασης στις πληροφορίες που είναι αποθηκευμένες στον τερματικό εξοπλισμό τους, όσο και για την αποθήκευση πληροφοριών σε αυτόν.

Η εταιρεία δεσμεύτηκε, κατά τη διάρκεια της διαδικασίας, ότι θα διακόψει τη χρήση του μηχανισμού αυτού.

Ανταλλάξιμα κτήματα -Δημοσιεύματα ΕπΑκ Νο 3

ΑΣΤΙΚΟ ΔΙΚΑΙΟ / ΚΤΗΜΑΤΟΛΟΓΙΟ

ΓΕΩΡΓΙΟΣ ΔΙΑΜΑΝΤΟΠΟΥΛΟΣ

Οι πρόσφατες τροποποιήσεις στον Ποινικό Κώδικας και στον Κώδικα Ποινικής Δικονομίας