Dana 10. studenog 2022. CNIL je kaznio DISCORD INC. s 800.000 eura zbog nepoštivanja nekoliko obveza GDPR-a, posebno u pogledu razdoblja zadržavanja podataka i sigurnosti osobnih podataka.
KONTEKST
Discord je društvena platforma za VoIP i instant poruke. Korisnici imaju mogućnost komuniciranja putem glasovnih poziva, videopoziva, tekstualnih poruka, medija i datoteka u privatnim razgovorima ili kao dio zajednica koje se nazivaju "poslužitelji".
CNIL, francusko nadzorno tijelo, smatralo je da tvrtka nije ispunila nekoliko obveza prema Općoj uredbi o zaštiti podataka (GDPR), te je izrečena kazna od 800.000 eura tvrtki DISCORD INC. i javno je objavljena.
Iznos kazne određen je s obzirom na utvrđena kršenja, broj pogođenih osoba, ali i uzimajući u obzir napore koje je tvrtka uložila tijekom cijelog postupka da postigne usklađenost te činjenicu da se njezin poslovni model ne temelji na iskorištavanju osobnih podataka.
POVREDE
1. neodređivanje i poštivanje razdoblja zadržavanja podataka koje odgovara svrsi (članak 5.1.e GDPR-a),
2. tijekom istražnog postupka tvrtka je izjavila da nema pisanu politiku čuvanja podataka,
Utvrđeno je da u bazi podataka DISCORD postoji 2.474.000 francuskih korisničkih računa koji nisu korišteni više od tri godine i 58.000 računa koji nisu korišteni više od pet godina.
Međutim, CNIL je primijetio da je tvrtka ipak tijekom postupka ispoštovala obvezu prema GDPR-u jer su uspostavili pisanu politiku zadržavanja podataka, koja uključuje brisanje računa nakon dvije godine neaktivnosti korisnika.
3. nepoštivanje obveze davanja informacija (čl. 13. GDPR-a)
U vrijeme istrage, informacije o razdobljima čuvanja podataka bile su nepotpune: nije bilo posebnih razdoblja ili kriterija za njihovo određivanje. No, ispoštovana je i ta obveza tijekom postupka.
4. nemogućnost osiguravanja zaštite podataka prema zadanim postavkama (članak 25.2. GDPR-a)
Kada korisnik prijavljen u glasovnu sobu zatvori prozor aplikacije DISCORD klikom na ikonu "X" u gornjem desnom kutu prozora u sustavu Microsoft Windows, on zapravo samo stavlja aplikaciju u pozadinu i ostaje prijavljen u glasovnu sobu. Dok kod većine aplikacija, u sustavu Microsoft Windows, vrijedi da klikom na "X" u gornjem desnom kutu zadnjeg vidljivog prozora aplikacije znači potpun izlazak iz aplikacije.
Kod DISCORD-a je drugačije i može dovesti do toga da korisnike čuju drugi članovi u glasovnoj sobi kada misle da su na taj način izašli iz aplikacije. CNIL je napomenuo kako DISCORD treba posebno informirati korisnike dajući im do znanja da se njihove riječi još uvijek prenose i čuju. No, DICORD INC. je surađivao s CNIL-om i u tom pogledu, te postavio skočni prozor za upozorenje ljudima povezanim s govornom prostorijom. Skočni prozor sadrži obavijest - kada se prozor zatvori po prvi put - da je aplikacija DISCORD još uvijek pokrenuta.
5. nemogućnost osiguranja sigurnosti osobnih podataka (čl. 32. GDPR-a)
Prilikom kreiranja računa na DISCORD-u, prihvaćena je lozinka od šest znakova uključujući slova i brojke. CNIL je zaključio kako takva politika upravljanja lozinkama nije dovoljno jaka i restriktivna da bi osigurala sigurnost korisničkih računa.
DISCORD je surađivao i u tom dijelu. Sada se od korisnika zahtijeva postavljanje lozinke od najmanje osam znakova, s najmanje tri od četiri vrste znakova (mala slova, velika slova, brojevi i posebni znakovi). Također, uvedeno je i da nakon deset neuspješnih pokušaja prijave, DISCORD zahtijeva captcha (pitanje i odgovor, npr. putem potvrdnog okvira ili odabira slike) koji treba riješiti.
6. neprovođenje procjene učinka na zaštitu podataka (članak 35. GDPR-a)
DISCORD je trebalo provesti takvu procjenu učinka s obzirom na količinu podataka koje tvrtka obrađuje i s obzirom na to da usluge DISCORD-a koriste maloljetnici. Surađivali su i u ovom dijelu, te su provedene dvije procjene učinka na zaštitu osobnih podataka kojima je zaključeno da obrada neće dovesti do visokog rizika za prava i slobode pojedinca.