RGPD : la jurisprudence se précise !

GDPR: η νομολογία γίνεται πιο ξεκάθαρη!

GDPR: η νομολογία γίνεται πιο ξεκάθαρη! Η CNIL είχε ήδη διακριθεί επιβάλλοντας πρόστιμο ρεκόρ ύψους 50 εκατομμυρίων ευρώ στην Google τον περασμένο Ιανουάριο επειδή δεν ενημέρωνε τους πελάτες της κατά τη χρήση του Android, ένα πρόστιμο που επιβεβαιώθηκε τον Ιούνιο από το Συμβούλιο της Επικρατείας.

Σήμερα, η Γαλλική Αρχή Προστασίας Δεδομένων επέβαλε πρόστιμα 2.250.000 και 800.000 ευρώ αντίστοιχα στην Carrefour France και την Carrefour Banque.

Ενώ η CNIL έχει ήδη λάβει πολυάριθμα κατασταλτικά μέτρα από τότε που τέθηκε σε ισχύ ο GDPR, η σύσκεψη της 18ης Νοεμβρίου μας λέει λίγα περισσότερα για την αξιολόγησή της σχετικά με τις παραβιάσεις του νόμου και τους λόγους που καθοδηγούν τις αποφάσεις της.

Αιτίες για έρευνα

Γενικά, η CNIL ξεκινά έρευνα είτε μετά την υποβολή καταγγελίας ή συγκεκριμένης αναφοράς, είτε με δική της πρωτοβουλία στο πλαίσιο των αποστολών παρακολούθησης.

Στην τελευταία περίπτωση, οι έλεγχοι θα καλύπτουν εκτενέστερα τους υπεύθυνους για έναν προηγουμένως προσδιορισμένο τομέα. 

Έτσι, η CNIL έχει ορίσει στη στρατηγική ελέγχου της για το 2020 αρκετές προτεραιότητες που υπόκεινται σε πιο εις βάθος επαληθεύσεις: δεδομένα υγείας, γεωγραφική τοποθεσία για τις τοπικές υπηρεσίες, καθώς και cookies και άλλα συστήματα παρακολούθησης.

Στην προκειμένη περίπτωση, οι δύο εταιρείες Carrefour France και Carrefour Banque αποτέλεσαν αντικείμενο έρευνας μετά την υποβολή 15 καταγγελιών στην CNIL μεταξύ Ιουνίου 2018 και Απριλίου 2019.

Αυτές οι καταγγελίες αφορούσαν εμπορικές πρακτικές αναζήτησης και μη τήρηση των δικαιωμάτων πρόσβασης και διαγραφής δεδομένων.

Η CNIL πραγματοποίησε αρκετούς διαδικτυακούς ελέγχους στις εγκαταστάσεις των εταιρειών και ξεκίνησε επίσημη έρευνα στα τέλη Ιανουαρίου 2019.

Η διαδικασία εκατέρωθεν ακροαματικής διαδικασίας οδήγησε σε αρκετές ανταλλαγές παρατηρήσεων μεταξύ της εταιρείας και του εισηγητή της CNIL, οι οποίες κορυφώθηκαν με την επίσημη σύσκεψή της στις 18 Νοεμβρίου.

 

Λόγοι της απόφασης

Η CNIL σημειώνει παραλείψεις συμμόρφωσης με πολλά άρθρα του GDPR:

  • Η υποχρέωση ενημέρωσης των φυσικών προσώπων (άρθρο 13 του ΓΚΠΔ)

Οι πληροφορίες που παρέχονταν στα άτομα σχετικά με την επεξεργασία των δεδομένων τους ήταν δυσπρόσιτες, ελλιπείς και θαμμένες σε μακροσκελή κείμενα για άλλα θέματα.

Η CNIL επικρίνει τη χρήση υπερβολικά αόριστων όρων: Η χρήση, σχεδόν συστηματικά (…), όρων όπως «αυτές οι θεραπείες περιλαμβάνουν, ειδικότερα, έναν ή περισσότερους από τους ακόλουθους λόγους» Ή «Τα δεδομένα σας ενδέχεται να χρησιμοποιηθούν» δεν επιτρέπουν στα ενδιαφερόμενα πρόσωπα να κατανοήσουν πλήρως την επεξεργασία που εφαρμόζεται.

  • Cookies (άρθρο 82 του Νόμου περί Προστασίας Δεδομένων)

Κατά την άφιξή τους στον ιστότοπο, σε κάθε επισκέπτη παρουσιάζονταν 39 cookies πριν καν προλάβει να τα αποδεχτεί ή να τα απορρίψει.

Τρία από αυτά τα cookies ανήκαν στη λύση Google Analytics, με στόχο τη στόχευση διαφημίσεων σε χρήστες του Διαδικτύου.

Συνεπώς, τα δεδομένα των επισκεπτών του ιστότοπου Carrefour.fr συλλέχθηκαν κατά παράβαση του άρθρου 82 του Νόμου περί Προστασίας Δεδομένων.

Για περισσότερες πληροφορίες σχετικά με την παρακολούθηση χρηστών του διαδικτύου, η CNIL δημοσίευσε μια ενημέρωση των κατευθυντήριων γραμμών της την 1η Οκτωβρίου.

  • Περίοδος διατήρησης δεδομένων (άρθρο 5.1.ε του ΓΚΠΔ)

Η CNIL θεωρεί ότι η περίοδος διατήρησης των δεδομένων πελατών (4 έτη) είναι υπερβολική: ένας πελάτης που δεν έχει πραγματοποιήσει συναλλαγές με την εταιρεία για αρκετά χρόνια δεν θα πρέπει πλέον να θεωρείται ενεργός πελάτης. 

Η Επιτροπή αναφέρεται στη θεωρία της επί του θέματος, η οποία συνιστά μέγιστη περίοδο διατήρησης τριών ετών: αναφέρει το παλαιό απλοποιημένο πρότυπο αριθ. 48 σχετικά με τα αρχεία υποψήφιων πελατών και τις διαδικτυακές πωλήσεις, καθώς και το πρόσφατο σχέδιο πλαισίου αναφοράς της σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα που εφαρμόζεται για τους σκοπούς της διαχείρισης εμπορικών δραστηριοτήτων.

  • Άσκηση δικαιωμάτων (Άρθρο 12 του ΓΚΠΔ)

Η διαδικασία που εφάρμοσε η Carrefour France απαιτούσε απόδειξη ταυτότητας από τους αιτούντες σε περιπτώσεις όπου αυτό δεν ήταν απαραίτητο, επειδή η ταυτότητα των πελατών είχε εξακριβωθεί.

Επιπλέον, οι χρόνοι επεξεργασίας των αιτημάτων υπερέβησαν τις νόμιμες απαιτήσεις σε αρκετές περιπτώσεις.

  • Σεβασμός των δικαιωμάτων (άρθρα 15, 17 και 21 του ΓΚΠΔ και L34-5 του Κώδικα Ταχυδρομικών και Ηλεκτρονικών Επικοινωνιών)

Η CNIL σημείωσε αρκετές περιπτώσεις έλλειψης απάντησης στα αιτήματα των καταγγελλόντων για πρόσβαση, ένσταση και διαγραφή δεδομένων.

  • Υποχρέωση δίκαιης επεξεργασίας δεδομένων (Άρθρο 5 του ΓΚΠΔ)

Ορισμένα δεδομένα (ταχυδρομική διεύθυνση, αριθμός τηλεφώνου, αριθμός παιδιών) που κοινοποιήθηκαν κατά την ηλεκτρονική εγγραφή για πιστωτική κάρτα Carrefour (κάρτα Pass) διαβιβάστηκαν στο πρόγραμμα πιστότητας Carrefour, σε αντίθεση με τις πληροφορίες που παρείχαν στα ενδιαφερόμενα άτομα.

  • Παραβίαση ασφαλείας (Άρθρο 32 του ΓΚΠΔ)

Η CNIL σημείωσε τελικά μια ευπάθεια που επιτρέπει την ηλεκτρονική πρόσβαση σε τιμολόγια πελατών και τονίζει ότι το μέτρο που έχει τεθεί σε εφαρμογή, δηλαδή η προσθήκη μιας συμβολοσειράς τυχαίων χαρακτήρων, δεν επαρκεί από μόνο του για να ξεπεραστεί μια τέτοια ευπάθεια.

Το CNIL επισημαίνει ότι η ANSSI προειδοποιεί για αυτό το θέμα ευπάθειας που συνδέεται με διευθύνσεις URL από το 2013.

Ένα υποχρεωτικό σύστημα προ-ελέγχου ταυτότητας θα έπρεπε να είχε εφαρμοστεί μετά την ανακάλυψη της ευπάθειας.

Προσπάθειες συμμόρφωσης και κατάλληλες κυρώσεις

Οι εταιρείες συνεργάστηκαν με την CNIL κατά τη διάρκεια της διαδικασίας και έλαβαν όλα τα απαραίτητα μέτρα για να συμμορφώσουν την επεξεργασία των δεδομένων τους με το νόμο.

Ενώ η CNIL τονίζει αυτή τη συνεργασία, ωστόσο επιβάλλει κυρώσεις σε όσους είναι υπεύθυνοι, λόγω της σοβαρότητας των παραβιάσεων: αυτές αφορούν σοβαρές παραλείψεις και επηρεάζουν σημαντικό αριθμό ανθρώπων.

Ωστόσο, απέχουμε ακόμη πολύ από τη μέγιστη ποινή που θα μπορούσε να επιβάλει η CNIL, η οποία ανέρχεται σε 4% κύκλου εργασιών. 

Για τον υπολογισμό αυτού του κύκλου εργασιών, ο οποίος χρησιμεύει ως βάση για τον υπολογισμό της βάσης για το πρόστιμο, η CNIL προσδιορίζει πρώτα την εμπλεκόμενη εταιρεία.

Θεωρεί ότι, προκειμένου να αξιολογηθεί η έννοια της επιχείρησης σύμφωνα με τα άρθρα 101 και 102 της ΣΛΕΕ, είναι σκόπιμο να ληφθεί υπόψη ο κύκλος εργασιών που πραγματοποίησε η εταιρεία CARREFOUR FRANCE και οι θυγατρικές της που κατέχει και οι οποίες έχουν επωφεληθεί από την επεξεργασία. 

Ο κύκλος εργασιών αυτής της εταιρείας (…) ανέρχεται επομένως σε 14,9 δισεκατομμύρια ευρώ το 2019.

Ωστόσο, η περιορισμένη εκπαίδευση της CNIL λαμβάνει επίσης υπόψη την ιδιαίτερη φύση του οικονομικού μοντέλου μαζικής διανομής, που χαρακτηρίζεται από ιδιαίτερα υψηλό κύκλο εργασιών αλλά χαμηλά περιθώρια κέρδους. 

Αυτά τα στοιχεία την οδήγησαν στην επιβολή προστίμου ύψους 2.250.000 ευρώ κατά της Carrefour France και 800.000 ευρώ κατά της Carrefour Banque.

Η σοβαρότητα των παραβιάσεων δικαιολογεί επίσης τη δημοσιότητα της απόφασης και αποτελεί μέσο ενημέρωσης των πολλών εμπλεκομένων.

Θεραπείες

Η απόφαση της CNIL συνιστά πράξη διοικητικής αρχής, η οποία υπόκειται σε έφεση ενώπιον του Συμβουλίου της Επικρατείας εντός δύο μηνών από την κοινοποίησή της. 

Και επίσης

Γαλλία:

  • Η εκδήλωση που διοργάνωσε η CNIL στις 23 Νοεμβρίου φορητότητα δεδομένων είναι διαθέσιμο ηλεκτρονικά στον ιστότοπο της αρχής.
  • Προκειμένου να ευαισθητοποιήσει τους δήμους και τους διαδήμους σχετικά με τους – πολύ πραγματικούς – κινδύνους των κυβερνοεπιθέσεων, η ANSSI δημοσιεύει μια οδηγός για θέματα κυβερνοασφάλειαςΑυτός ο οδηγός στοχεύει να πείσει τους αιρετούς αξιωματούχους να επενδύσουν στην ανάπτυξη της προστασίας των συστημάτων πληροφοριών τους.

Ευρώπη:

  • Η βελγική αρχή προστασίας δεδομένων κατέληξε σε συμβιβασμό στις 26 Νοεμβρίου Μνημόνιο Συνεργασίας με την DNS Belgium να αναστείλουν τα ονόματα τομέα «.be» ιστότοπων που παραβιάζουν τον ΓΚΠΔ.
  • Πριν από τις 8 Ιανουαρίου, η Ευρωπαϊκή Επιτροπή θα αποφασίσει σχετικά μεΗ Google εξαγοράζει την FitBit, μια εξαγορά που εγείρει ερωτήματα στους τομείς της προστασίας δεδομένων και του ανταγωνισμού.
  • Η Ευρωπαϊκή Επιτροπή δημοσίευσε το σχέδιο των τυποποιημένων συμβατικών ρητρών της στις 12 Νοεμβρίου, ένα σχέδιο ανοιχτό για σχολιασμό για τέσσερις εβδομάδες.

Αυτή η αναθεωρημένη έκδοση στοχεύει στην επανόρθωση των συνεπειών της πλέον διάσημης απόφασης Schrems II και στην διαβιβάσεις δεδομένων στις Ηνωμένες Πολιτείες σύμφωνα με την ευρωπαϊκή νομοθεσία.

Αναφερόμαστε επίσης στις συστάσεις της Ευρωπαϊκής Επιτροπής Προστασίας Δεδομένων για το ίδιο θέμα, οι οποίες εγκρίθηκαν στις 10 Νοεμβρίου.

  • Ο νέος ευρωπαϊκός κανονισμός για τις ψηφιακές υπηρεσίες αναμένεται να δημοσιευτεί στις αρχές Δεκεμβρίου.

Στόχος της Επιτροπής είναι να ρύθμιση των «μεγάλων τεχνολογιών» δίνοντας επίσης τη δυνατότητα στις μικρές και μεσαίες επιχειρήσεις/μικρομεσαίες επιχειρήσεις να αναπτύξουν τις υπηρεσίες τους, να ενδυναμώσουν τους ψηφιακούς παράγοντες και να καταπολεμήσουν την παραπληροφόρηση στο διαδίκτυο.

Διεθνές:

  • Ο νέος καναδικός νόμος περί προστασίας των προσωπικών δεδομένων έχει καταστεί πιο αποτελεσματικός, με σημαντικά πρόστιμα για παραβιάσεις των αρχών του.
  • Ηνωμένες Πολιτείες: το Νόμος περί Δικαιωμάτων Απορρήτου της Καλιφόρνια («CPRA») εγκρίθηκε στις 3 Νοεμβρίου.

Αυτό το νέο κείμενο θεσπίζει μια εποπτική αρχή, την Υπηρεσία Προστασίας Προσωπικών Δεδομένων της Καλιφόρνια, με την εξουσία να επιβάλλει οικονομικές κυρώσεις.

Είναι η πρώτη εποπτική αρχή σε αυτόν τον τομέα στις Ηνωμένες Πολιτείες.

Άννα Κριστίν Λακόστ

Η Anne Christine Lacoste, συνεργάτιδα της Olivier Weber Avocat, είναι δικηγόρος με εξειδίκευση στο δίκαιο των δεδομένων. Διετέλεσε επικεφαλής διεθνών σχέσεων στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και εργάστηκε για την εφαρμογή του GDPR στην Ευρωπαϊκή Ένωση.

 

Ανακαλύψτε το Viqtor®
elEL
fr_FRFR en_USEN de_DE_formalDE es_ESES it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL elEL