Andmekaitseuudised

“Kobarkäkk” andmekaitses päädis 500 000 € trahviga.

Postitatud

14.06.2021 määras Prantsusmaa andmekaitse järelevalveasutus Commission Nationale de l’Informatique et des Libertés (CNIL)  500 000 eurot trahvi tööriistu ning aiandus- ja käsitöökaupu müüvale internetipoele Brico Privé.

Järelevalveasutus leidis kauplusest GDPR – alaseid rikkumisi suures valikus:

  • Brico Privé ei täitnud GDPR artikli 5 lõike 1 punktist e tulenevat kohustust piirata isikuandmete säilitamise tähtaega, säilitades põhjendamatult enam kui 130 000 isiku andmeid, kes polnud oma kasutajakontot enam kui 5 aasta jooksul kasutanud. Seejuures ei pidanud ettevõte kinni ka omaenda privaatsusteates avaldatud tähtaegadest.
  • Ettevõtte privaatsusteavitus ei vastanud GDPR artikli 13 nõuetele, sest ei sisaldanud kogu nõutavat teavet.
  • Kliendi soovi kasutajakonto kustutamiseks eirati ja konto vaid desaktiveeriti, rikkudes sellega GDPR artiklit 17.
  • Ettevõte ei täitnud GDPR artiklist 32 tulenevaid isikuandmete turvalise töötlemise kohustusi – ei nõudnud piisavalt tugevate salasõnade kasutamist ei  kasutajakonto loojatelt ega kliendihaldustarkvarale ligipääsu omavatelt töötajatelt.
  • Ettevõte paigaldas kasutajate seadmetesse „küpsiseid“ automaatselt, ilma kasutajate eelneva nõusolekuta. Samas ei olnud tegu tehniliselt möödapääsmatult vajalike küpsistega.
  • Brico Privé rikkus elektrooniliste kanalite otseturunduseks kasutamise reegleid ning saatis kasutajakonto teinud isikutele turundusteateid ilma nende eelneva nõusolekuta.