Prantsusmaa andmekaitse järelevalveasutus Commission Nationale de l’Informatique et des Libertés (CNIL) trahvis kaubandusketti Carrefour 2 350 000 euro ja Carrefour Banque’ (Carrefour’i keti pank) 800 000 euro suuruse trahviga.
Menetlus sai alguse klientide kaebustest ning selle käigus leiti väga erinevaid puudujääke:
Teavitamiskohustuse rikkumine (GDPR artikkel 13)
Veebilehtedel carrefour.fr ja carrefour-banque.fr avaldatud teave kasutajatele ning kliendiprogrammiga Pass card liituda soovijatele ei olnud piisavalt lihtsalt ligipääsetav, info oli keeruliselt esitatud ning sisaldus pikkades tekstides. Teavitusele heideti ette ka liiga üldist ja ebatäpset sõnakasutust ning keerulist sõnastust. Lisaks puudus teave isikuandmete säilitustähtaegade kohta.
Carrefour.fr veebileht ei esitanud järelevalveasutuse hinnangul piisavalt infot andmete väljaspoole EL-i edastamise ning andmetöötlustoimingute õigusliku aluse kohta.
Küpsiste kasutamise reeglite rikkumine (Prantsuse isikuandmete kaitse seaduse artikkel 82)
CNIL avastas, et kui kasutaja sisenes carrefour.fr või carrefour-banque.fr kodulehele, salvestusid tema kasutajaseadmesse küpsised ilma, et ta oleks selleks mingeid samme astunud. Paljud neist küpsistest oli kasutusel reklaami eesmärgil ning nende „istutamiseks“ oleks pidanud küsima seadme kasutaja nõusolekut.
Säilitamise piirangu reeglite rikkumine (GDPR artikkel 5 (1) e)
Carrefour France ei pidanud kinni enda seatud isikuandmete säilitustähtaegadest. Enam kui 28 miljoni 5-10 aastat passiivse kliendi andmeid hoiti põhjuseta alles. Sama lugu oli ka veebilehe carrefour.fr 75 000 kasutajaga, kes polnud veebilehte 5-10 aasta jooksul külastanud.
CNIL hinnangul on kliendi andmete säilitamise tähtaeg 4 aastat pärast viimast ostu liiga pikk, sest tegu on jaemüügiettevõttega, kus kliendid sooritavad oste regulaarselt.
Andmesubjekti õiguste kasutamisele kaasa aitamise kohustuse rikkumine (GDPR artikkel 12)
Carrefour France nõudis kõigi õiguste, v.a. otseturundusest keeldumine, kasutamisel isikutuvastust. CNIL leidis, et selline nõue ei ole õigustatud kuna isikute identiteedis ei saanud olla kahtlust.
Lisaks ei pidanud Carrefour France kinni GDPR-s sätestatud vastamise tähtaegadest.
Andmesubjektide õiguste eiramine (GDPR artiklid 15, 17 ja 21 ning prantsuse posti – ja elektroonilise side seaduse artikkel L34-5)
Esiteks jättis Carrefour France vastamata mitmetele pöördumistele, millega andmesubjektid soovisid juurdepääsu oma andmetele.
Teiseks ei kustutanud ettevõtte mitmete isikute andmeid, kes olid seda soovinud ning puudus alus keeldumiseks.
Kolmandaks eiras ettevõtte klientide keeldumist sms-i või e-posti teel saadetavast reklaamist.
Isikuandmete õiglase töötlemise põhimõtte eiramine (GDPR artikkel 5)
Kui isik tellis endale Pass card’i (kliendikontoga soovi korral seotav krediitkaart) ja soovis ühtlasi liituda kliendiprogrammiga, pidi ta tegema vastavasse ruutu „linnukese“, millega andis Carrefour Banque’ile nõusoleku edastada kliendiprogrammile „Carrefour fidélité“ oma nime ja e-posti aadressi. Pank kinnitas, et muid andmeid ei töödelda. CNIL leidis, et tegelikult töötles pank siiski ka muid andmeid – nt postiaadress, telefoninumber ja kliendi laste arv.