Andmekaitseuudised

GDPR-trahvi selgeltnägijad ette ei näinud

Postitatud

Prantsusmaa isikuandmete kaitse järelevalveasutus Commission nationale de l’informatique et des libertés (CNIL) määras „selgeltnägija“ – teenuseid osutavale ettevõttele GDPR nõuete eiramise eest 120 000 euro ning küpsiste kasutamise reeglite eiramise eest 30 000 euro suuruse trahvi.

KG COM opereerib mitmeid veebilehekülgi, mis pakuvad online jutuside (chat) või telefoni teel selgeltnägemist ja tuleviku ennustamist.

Info selle kohta, et ettevõtte andmebaas oli olnud teatud aja vältel vabalt internetis kättesaadav, jõudis järelevalveasutuseni meedia kaudu. GDPR-rikkumiste uurimine toimus koostöös teiste EL riikide järelevalveasutustega, kuna ettevõttel oli kliente eri riikidest.

CNIL tuvastas järgmised rikkumised:

  • Minimaalsuspõhimõtte eiramine isikuandmete kogumisel ja kasutamisel (art 5.1.c)
  • Õigusliku aluse puudumine pangakonto andmete töötlemisel (art 6)
  • Eelneva nõusoleku küsimata jätmine eriliigiiste isikuandmete töötlemisel (art 9 )
  • Turbenõuete mittetäitmine (art 32)
  • Järelevalveasutuse teavitamata jätmine (art 33)

Ettevõte salvestas kõik telefonikõned ennustajate ja klientide vahel väites, et sel viisil kontrollitakse teenuse kvaliteeti ning tõendatakse võimaliku kohtuvaidluse korral lepingu sõlmimise fakti. Ettevõte ei suutnud kõnede laussalvestamist tegelikkuses järelevalveasutusele põhjendada.

Klientide pangakontoandmeid säilitati kauem kui ülekande lõpule viimiseks hädapärast tarvis, sh pettuste vastaseks võitluseks ning järgnevate sessioonide eest tasumise hõlbustamiseks. Järelevalveasutus leidis, et pangakontoandmete säilitamine pettusevastase võitluse tarbeks võib toimuda õigustatud huvi alusel, kuid järgnevate ostude hõlbustamise eesmärgil säilitamiseks oleks pidanud siiski küsima klientide nõusolekut.

Tuleviku ennustamise käigus avaldasid kliendid andmeid oma tervise ja seksuaalse sättumuse kohta, mille „selgeltnägijad“ oma andmebaasi üles märkisid. Andmete säilitamiseks oleks pidanud küsima kliendi selgesõnalise nõusoleku. Järelevalveasutus asus seisukohale, et siiras soov saada infot oma tuleviku kohta, mis paneb inimese spontaanselt oma eriliigilisi andmeid avaldama ei ole käsitletav kui selgesõnaline nõusolek GDPR-s sätestatud tähenduses.

Ettevõte ei kasutanud kasutajakontode jaoks piisavalt turvalisi salasõnu ning kasutas https – protokolli asemel vähemturvalist http-protokolli. Pangakontoandmeid krüpteeriti ebapiisavalt.

Kuigi üks ajakirjanik informeeris ettevõtet andmelekkest, KG COM siiski järelevalveasutusele vastavat teavitust ei saatnud, leides, et kuna probleemi tekitas serverit haldav volitatud töötleja, ei pea nemad vastutava töötlejana sellega tegelema.

KG COM veebilehel puudus küpsiste teavitus, kuigi veebilehe külastaja seadmesse paigaldati kolm erinevat küpsist. Teavituse ettevõte hiljem küll avaldas, kuid ei võimaldanud veebilehe külastajatel küpsistest keelduda.

 

Artikli kirjutamisel kasutatud allikas:

https://www.cnil.fr/en/online-clairvoyance-kg-com-fined-eur-150000