Глобиха CARREFOUR FRANCE с 2 250 000 евро за нарушаване на GDPR

Още 800 000 евро е санкцията за CARREFOUR BANQUE

Вчера френският надзорен орган за защита на данните CNIL съобщи, че санкционира две компании от групата CARREFOUR за нарушения на GDPR. След като получава няколко жалби срещу групата CARREFOUR, CNIL извършва проверки между май и юли 2019 г. на компаниите CARREFOUR FRANCE (търговия на дребно) и CARREFOUR BANQUE (банков сектор). Открити са недостатъци при обработката на данни за клиенти и потенциални потребители. Поради това председателят на CNIL решава да започне санкционна процедура срещу тези компании, която завършва с глобите. За CARREFOUR FRANCE санкцията е от 2 250 000 евро, а за CARREFOUR BANQUE – 800 000 евро.

Заради усилията на компаниите за отстраняване на констатираните нарушения, не е връчено решение за наложените санкции.

Констатирано е нарушения на задължението за информиране на хората (член 13 от GDPR) –  информацията, предоставена на потребителите на сайтовете carrefour.fr и carrefour-banque.fr, както и на хората, желаещи да се присъединят към програмата за лоялност или картата Pass не е била лесно достъпна. Достъпът до информация е бил твърде сложен, в много дълъг текст, съдържащ и друга информация, а информацията не е била лесно разбираема – написана с общи и неточни термини, понякога са използвани ненужно сложни формулировки.

Нарушения, свързани с бисквитки – CNIL отбелязва, че когато потребителят посети сайтовете, няколко бисквитки автоматично се инсталират, преди каквото и да е действие от негова страна.

Нарушаването на член 5 от GDPR е поради неспазване на обявени срокове за съхранение на данни. По този начин данните за повече от 28 млн. клиенти, които са били неактивни в продължение на пет до десет години, се запазват като част от програмата за лоялност. Същото важи и за 750 000 потребители на сайта carrefour.fr, които са били неактивни от пет до десет години.

Освен това, в този случай, надзорният орган счита, че периодът на съхранение на данни от клиенти след последната им покупка е прекомерен. Всъщност тази продължителност, първоначално приета от компанията, надвишава необходимото, предвид потребителските навици на клиентите.

По време на процедурата всички данни, които са твърде стари, са изтрити.

Нарушението на член 12 от GDPR е защото компанията CARREFOUR FRANCE почти винаги изисква доказателство за самоличност за всяко искане за упражняване на права. Това систематично искане не е оправдано, когато няма съмнение относно самоличността на лицата, упражняващи правата си. Освен това компанията не е била в състояние да обработи няколко искания за упражняване на права в сроковете, изисквани от GDPR.

Компанията вече е променила практиките си и е отговорила на всички искания, получени в рамките на период от по-малко от месец.

За членове 15, 17 и 21 от GDPR CARREFOUR FRANCE е виновна, защото не отговаря на няколко искания от хора, желаещи да получат достъп до техните лични данни. Тя не изтрива техни данни своевременно, а чак по време на процедурата.

Компанията не се съобразява с искания от хора, които се противопоставят на получаването на реклама чрез SMS или имейл, установяват проверяващите. По време на процедурата компанията разрешава и този проблем.

CARREFOUR BANQUE допуска лице, абонирано за картата Pass (банкова карта, която може да бъде прикрепена към сметката за лоялност) пожелае да се присъедини към програмата за лоялност, то трябва да постави отметка в квадратчето, указващо, че приема, че CARREFOUR BANQUE ще съобщи името му на „Carrefour loyalty“, както и имейл адрес.

CARREFOUR BANQUE изрично посочва, че не са предават други данни.

CNIL обаче отбелязва, че са предават и други данни, като пощенски адрес, телефонен номер и брой на децата му, въпреки обещанията на компанията.

По време на процедурата практиките са променени.

 

Можете да споделите: