Po przeprowadzeniu dochodzenia CNIL stwierdziła, że KG COM systematycznie nagrywała rozmowy telefoniczne między operatorami telefonów a potencjalnymi klientami, a także między wróżbitami a klientami, celem kontroli jakości i udowodnienia zawarcia umowy. CNIL zauważyła, że choć KG COM zakończyło nagrywanie rozmów telefonicznych, naruszyło artykuł 5 ustęp 1 lit. c RODO, nie minimalizując zbieranych i przetwarzanych danych osobowych.

Podobnie CNIL stwierdziła, że KG COM przechowywało dane bankowe klientów dłużej, niż było to konieczne do zrealizowania transakcji, w celach przeciwdziałania oszustwom i przyszłych zakupów. Szczegółowo CNIL zaznaczyła, że jeśli podstawą prawną przechowywania danych bankowych jest przeciwdziałanie oszustwom, to w przypadku kolejnych zakupów wymagana jest nowa podstawa prawna, a mianowicie zgoda. Dlatego CNIL stwierdziła, że KG COM naruszyło artykuł 6 RODO.

Warto zauważyć, że CNIL wskazała, że KG COM nie uzyskało uprzedniej zgody od osób fizycznych na zbieranie szczególnych kategorii danych osobowych, takich jak dane dotyczące zdrowia czy orientacji seksualnej. CNIL stwierdziła, że chęć skorzystania z usług wróżbiarskich i dobrowolne ujawnienie wrażliwych informacji nie stanowią wyraźnej zgody. W związku z tym stwierdzono, że KG COM naruszyło artykuł 9 RODO.

CNIL podkreśliła również, że KG COM nie podjęło odpowiednich środków, aby zapewnić przejrzyste informowanie osób fizycznych o przetwarzaniu ich danych osobowych i że użytkownicy musieli aktywnie szukać takich informacji. Podobnie KG COM nie informowało osób fizycznych o różnych kwestiach, w tym o ich prawach jako podmiotów danych i okresie przechowywania danych osobowych. W związku z tym stwierdzono, że KG COM naruszyło odpowiednio artykuły 12 i 13 RODO.

Ponadto CNIL zwróciła uwagę, że KG COM stosowało zbyt słabe hasła do kont użytkowników i nie udostępniało stron internetowych przy użyciu protokołu HTTP, a także stosowało mechanizm szyfrowania danych bankowych, który miał luki w zabezpieczeniach, naruszając artykuł 32 RODO. CNIL zauważyło również, że incydent naruszenia danych w 2020 roku został ujawniony przez dziennikarza, a KG COM nie poinformowało CNIL o naruszeniu danych, nawet jeśli naruszenie to było wynikiem działania przetwarzającego dane, naruszając artykuł 33 RODO. W odniesieniu do przetwarzających dane, CNIL stwierdziło, że KG COM nie zawarło umów z wieloma przetwarzającymi danymi regulujących relację przetwarzania. Dlatego niezawarcie umowy regulującej przetwarzanie danych między KG COM jako administratorem a innymi przetwarzającymi skutkowało naruszeniem artykułu 28 ustęp 3 RODO.

Wreszcie CNIL stwierdziła, że brak banera informacyjnego dotyczącego plików cookie oraz umieszczanie trzech plików cookie na urządzeniach użytkowników bez ich zgody podczas odwiedzania stron internetowych firmy naruszało artykuł 82 Ustawy.

Ostatecznie CNIL nałożyło na KG COM karę w wysokości 150 000 euro za wspomniane naruszenia.

Więcej: https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000047682157?init=true&page=1&query=kg%20com&searchField=ALL&tab_selection=all

Jeżeli chcesz być informowany na bieżąco o naszych publikacjach w www.odoserwis.pl dołącz do nas:

Facebook https://www.facebook.com/odoserwis.pl.2016/

Linkedin https://www.linkedin.com/company/odoserwis-pl/

-----------------------------------------------------

Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl