RGPD : la jurisprudence se précise !

GDPR: oikeuskäytäntö selkeytyy!

GDPR: oikeuskäytäntö selkeytyy! CNIL oli jo kunnostautunut määräämällä Googlelle ennätyksellisen 50 miljoonan euron sakon viime tammikuussa, koska se ei tiedottanut asiakkailleen Androidin käytöstä. Valtioneuvosto vahvisti sakon kesäkuussa.

Ranskan tietosuojaviranomainen on tänään määrännyt Carrefour Francelle 2 250 000 euron ja Carrefour Banquelle 800 000 euron sakot.

Vaikka CNIL on jo ryhtynyt lukuisiin sortotoimiin GDPR:n voimaantulon jälkeen, 18. marraskuuta pidetty käsittely kertoo meille hieman enemmän sen lainrikkomusten arvioinnista ja sen päätöksiä ohjaavista syistä.

Tutkimuksen käynnistävät tekijät

Yleisesti ottaen CNIL aloittaa tutkinnan joko valituksen tai yksittäisen ilmoituksen tekemisen jälkeen tai omasta aloitteestaan osana valvontatehtäviään.

Jälkimmäisessä tapauksessa valvonta kattaa laajemmin aiemmin määritellystä sektorista vastaavat. 

CNIL on siksi määritellyt vuoden 2020 valvontastrategiassaan useita prioriteetteja, joihin sovelletaan perusteellisempia tarkastuksia: terveystiedot, paikallisten palvelujen maantieteellinen sijainti sekä evästeet ja muut seurantalaitteet.

Tässä tapauksessa Carrefour France ja Carrefour Banque olivat tutkinnan kohteena sen jälkeen, kun CNIL:lle tehtiin 15 valitusta kesäkuun 2018 ja huhtikuun 2019 välisenä aikana.

Nämä valitukset koskivat kaupallisia etsintäkäytäntöjä ja tietojen saatavuus- ja poistamisoikeuden laiminlyöntiä.

CNIL suoritti useita verkkotarkastuksia yritysten tiloissa ja aloitti virallisen tutkinnan tammikuun 2019 lopussa.

Kontradiktorinen menettely johti useisiin huomautustenvaihtoihin yhtiön ja CNIL:n esittelijän välillä, ja se huipentui viralliseen käsittelyyn 18. marraskuuta.

 

Päätöksen syyt

CNIL huomauttaa useiden GDPR-artiklojen noudattamatta jättämisestä:

  • Velvollisuus tiedottaa yksilöille (yleisen tietosuoja-asetuksen 13 artikla)

Yksilöille annetut tiedot heidän tietojensa käsittelystä olivat vaikeasti saatavilla, puutteellisia ja hautautuneet pitkien, muita aiheita käsittelevien tekstien sekaan.

CNIL kritisoi liian epämääräisten termien käyttöä: Lähes systemaattista (…) termien käyttöä, kuten "näihin hoitoihin kuuluvat erityisesti yksi tai useampi seuraavista syistä" Tai "Tietojasi voidaan käyttää" eivät anna rekisteröidyille mahdollisuutta täysin ymmärtää toteutettua käsittelyä.

  • Evästeet (tietosuojalain 82 §)

Verkkosivustolle saapuessaan jokaiselle kävijälle näytettiin 39 evästettä ennen kuin heillä oli edes mahdollisuus hyväksyä tai hylätä ne.

Kolme näistä evästeistä kuului Google Analytics -ratkaisuun, jonka tarkoituksena oli kohdistaa mainoksia internetin käyttäjille.

Carrefour.fr-verkkosivuston kävijöiden tiedot kerättiin siten tietosuojalain 82 artiklan vastaisesti.

Lisätietoja internetin käyttäjien seurannasta on saatavilla CNIL:n julkaisemassa päivityksessä ohjeisiinsa 1. lokakuuta.

  • Tietojen säilytysaika (yleisen tietosuoja-asetuksen 5.1.e artikla)

CNIL katsoo, että asiakastietojen säilytysaika (4 vuotta) on kohtuuton: asiakasta, joka ei ole käynyt kauppaa yrityksen kanssa useaan vuoteen, ei pitäisi enää pitää aktiivisena asiakkaana. 

Komissio viittaa asiaa koskevaan doktriiniinsa, jossa suositellaan enintään kolmen vuoden säilytysaikaa: se mainitsee vanhan yksinkertaistetun standardin nro 48, joka koskee asiakas-potentiaalisia asiakkaita ja verkkokauppaa, sekä äskettäisen luonnoksensa viitekehykseksi, joka koskee henkilötietojen käsittelyä kaupallisen toiminnan hallinnoimiseksi.

  • Oikeuksien käyttäminen (yleisen tietosuoja-asetuksen 12 artikla)

Carrefour Francen toteuttamassa menettelyssä hakijoilta edellytettiin henkilöllisyyden todistamista tilanteissa, joissa se ei ollut tarpeen, koska asiakkaiden henkilöllisyys oli vahvistettu.

Lisäksi pyyntöjen käsittelyajat ylittivät useissa tapauksissa lain vaatimukset.

  • Oikeuksien kunnioittaminen (yleisen tietosuoja-asetuksen 15, 17 ja 21 artikla sekä posti- ja sähköisen viestinnän säännöstön L34-5 §)

CNIL pani merkille useita tapauksia, joissa valittajien pyyntöihin tietojen saamisesta, vastustamisesta ja poistamisesta ei vastattu.

  • Velvollisuus käsitellä tietoja asianmukaisesti (yleisen tietosuoja-asetuksen 5 artikla)

Tietyt Carrefour-luottokortin (Pass-kortin) verkkotilauksen yhteydessä annetut tiedot (postiosoite, puhelinnumero, lasten lukumäärä) välitettiin Carrefour-kanta-asiakasohjelmaan, mikä on ristiriidassa asianomaisille henkilöille annettujen tietojen kanssa.

  • Tietoturvaloukkaus (yleisen tietosuoja-asetuksen 32 artikla)

CNIL on vihdoin havainnut haavoittuvuuden, joka mahdollistaa asiakaslaskujen tarkastelun verkossa, ja korostaa, että käyttöön otettu toimenpide, nimittäin satunnaisten merkkijonojen lisääminen, ei yksinään riitä poistamaan tällaista haavoittuvuutta.

CNIL huomauttaa, että ANSSI on varoittanut tästä URL-osoitteisiin liittyvästä haavoittuvuudesta vuodesta 2013 lähtien.

Pakollinen esitunnistusjärjestelmä olisi pitänyt ottaa käyttöön haavoittuvuuden havaitsemisen jälkeen.

Vaatimustenmukaisuustoimet ja asianmukaiset seuraamukset

Yritykset tekivät yhteistyötä CNIL:n kanssa menettelyn aikana ja ryhtyivät kaikkiin tarvittaviin toimenpiteisiin saattaakseen tietojenkäsittelynsä lainmukaiseksi.

Vaikka CNIL korostaa tätä yhteistyötä, se kuitenkin rankaisee syyllisiä rikkomusten vakavuuden vuoksi: kyse on vakavista laiminlyönneistä ja ne vaikuttavat merkittävään määrään ihmisiä.

Olemme kuitenkin vielä kaukana CNIL:n määräämästä enimmäisrangaistuksesta, joka olisi 41 TP3T liikevaihdosta. 

Tämän sakon perusteena olevan liikevaihdon laskemiseksi CNIL tunnistaa ensin kyseessä olevan yrityksen.

Se katsoo, että SEUT-sopimuksen 101 ja 102 artiklan mukaisen yrityksen käsitteen arvioimiseksi on asianmukaista ottaa huomioon CARREFOUR FRANCE -yhtiön ja sen omistamien ja käsittelystä hyötyneiden tytäryhtiöiden liikevaihto. 

Tämän yrityksen (…) liikevaihto oli siis 14,9 miljardia euroa vuonna 2019.

CNIL:n rajattu koulutus ottaa kuitenkin huomioon myös massajakelun taloudellisen mallin erityisluonteen, jolle on ominaista erityisen suuri vaihtuvuus mutta alhaiset katteet. 

Näiden seikkojen perusteella se päätti määrätä Carrefour Francelle 2 250 000 euron ja Carrefour Banquelle 800 000 euron sakon.

Rikkomusten vakavuus oikeuttaa myös päätöksen julkisuuden ja on keino tiedottaa asiasta monille asianosaisille.

Korjaustoimenpiteet

CNIL:n päätös on hallintoviranomaisen päätös, josta voi valittaa valtioneuvostoon kahden kuukauden kuluessa sen tiedoksi antamisesta. 

Ja myös

Ranska:

  • CNIL:n järjestämä tapahtuma 23. marraskuuta tietojen siirrettävyys on saatavilla viranomaisen verkkosivuilla verkossa.
  • Lisätäkseen kuntien ja kuntien välisen verkoston tietoisuutta kyberhyökkäysten – hyvin todellisista – riskeistä ANSSI julkaisee opas kyberturvallisuuskysymyksiinTämän oppaan tarkoituksena on saada vaaleilla valitut virkamiehet investoimaan tietojärjestelmiensä suojauksen kehittämiseen.

Eurooppa:

  • Belgian tietosuojaviranomainen teki sopimuksen 26. marraskuuta yhteisymmärryspöytäkirja DNS Belgiumin kanssa jäädyttää GDPR:n vastaisten sivustojen ".be"-verkkotunnukset.
  • Euroopan komissio päättää asiasta ennen 8. tammikuutaGoogle ostaa FitBitin, yrityskauppa, joka herättää kysymyksiä tietosuojan ja kilpailun aloilla.
  • Euroopan komissio julkaisi luonnoksensa mallisopimuslausekkeiksi 12. marraskuuta, ja luonnos on ollut kommentoitavana neljä viikkoa.

Tämän tarkistetun version tarkoituksena on korjata nyt jo kuuluisan Schrems II -tuomion seuraukset ja antaa tiedonsiirrot Yhdysvaltoihin Euroopan lainsäädännön mukaisesti.

Viittaamme myös Euroopan tietosuojakomitean samasta aiheesta 10. marraskuuta antamiin suosituksiin.

  • Uuden eurooppalaisen digitaalisten palveluiden asetuksen odotetaan julkaistavan joulukuun alussa.

Komission tavoitteena on säännellä "suurta teknologiaa" mahdollistamalla myös mikroyritysten/pk-yritysten kehittää palveluitaan, voimaannuttamalla digitaalisia toimijoita ja torjumalla verkossa tapahtuvaa disinformaatiota.

Kansainvälinen:

  • Kanadan uutta henkilötietojen suojaa koskevaa lakia on tehostettu, ja sen periaatteiden rikkomisesta on määrätty huomattavia sakkoja.
  • Yhdysvallat: Kalifornian yksityisyydensuojalaki (”CPRA”) hyväksyttiin 3. marraskuuta.

Tämä uusi teksti perustaa valvontaviranomaisen, Kalifornian yksityisyyden suojaviraston (California Privacy Protection Agency), jolla on valtuudet määrätä taloudellisia seuraamuksia.

Se on Yhdysvaltojen ensimmäinen tämän alan valvontaviranomainen.

Anne Christine Lacoste

Olivier Weber Avocatin osakas Anne Christine Lacoste on tietosuojalainsäädäntöön erikoistunut lakimies. Hän toimi Euroopan tietosuojavaltuutetun kansainvälisten suhteiden päällikkönä ja työskenteli GDPR:n täytäntöönpanon parissa Euroopan unionissa.

 

Tutustu Viqtoriin®
fiFI
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET lvLV lt_LTLT sk_SKSK sl_SISL fiFI