Francuski DPA kaznio je GROUPE CANAL+ sa 600.000 eura nakon što je primio 31 pritužbu zbog nepoštivanja nekoliko članaka GDPR-a. Kazna se posebno odnosi na "cold calling", ostvarivanje prava ispitanika, sigurnosna pitanja koja se tiču lozinki zaposlenika tvrtke i propust tvrtke da obavijesti DPA kada je došlo do ozbiljne povrede osobnih podataka 2020.
Između studenog 2019. i siječnja 2021. francuski DPA zaprimio je 31 pritužbu u vezi s "cold callingom", oblikom prodaje putem telefona kupcima koji nikada prije nisu bili u interakciji s tvrtkom, te radi problema s ostvarivanjem prava podnositelja pritužbe od strane GROUPE CANAL+ (tvrtka). Pet od tih pritužbi usvojeno je u ovom postupku o čemu pišemo niže.
Činjenice
Dva ispitanika su tvrdila da im nije ispoštovano pravo na brisanje, a trećem ispitaniku zahtjev za prigovorom na obradu je zanemaren točnije nije mu ni odgovoreno na zahtjev.
U siječnju 2021. DPA je izvršio nadzor nad obradom podataka tvrtke GROUPE CANAL+ kao voditelja obrade, a u ožujku 2023. nastavio se postupak.
Na kraju istrage, 11. svibnja 2023., tvrtki je poslano izvješće s detaljima kršenja članka 12. GDPR-a, članka 13. GDPR-a, članka 14. GDPR-a, članka 15. GDPR-a, članka 28. GDPR-a, članka 32. GDPR-a i članka 33. GDPR-a, kao i članka L. 34-5 francuskog zakona o pošti i elektroničkim komunikacijama (CPCE). Nakon toga, tvrtka se dodatno očitovala.
Francuska agencija za zaštitu podataka prvi je put utvrdila da je tvrtka vršila obradu podataka koje su u njezino ime prikupljali pružatelji usluga i da nije mogla pružiti dokaz o valjano izraženom pristanku potencijalnih kupaca na "cold calling".
Podaci potencijalnih kupaca prikupljeni su od pružatelja usluga, ali potencijalni kupci nisu valjano pristali na primanje "cold calling" od tvrtke GROUPE CANAL+ te nisu bili obaviješteni o identitetu voditelja obrade u čije ime je prikupljen pristanak prilikom označavanja polja za pristanak za primanje reklamnog oglašavanja elektroničkim putem. Dakle, kako je voditelj obrade odgovoran za dokazivanje valjano dobivenog pristanka prije provođenja bilo kakve aktivnosti prikupljanja podataka tvrtka mora moći dokazati da je imala takvu suglasnost. Posljedično, tvrtka nije ispunila svoje obveze koje proizlaze iz članka L. 34-5 francuskog CPCE-a, članka 7(1) GDPR-a, ali i iz drugih članaka GDPR-a.
Nakon prethodno navedenog drugo što je DPA utvrdio je kršenje članka 13. GDPR-a. Politika privatnosti nije bila napisana na adekvatan način i nije ispunjavala sve zahtjeve GDPR-a. Najmanji krimen tvrtci je bio taj što se u politici privatnosti tvrtke ne spominje pravo na podnošenje pritužbe francuskom DPA-u jer se to moglo razumjeti iz dokumenata dostupnih na web stranici.
Nadalje, u vezi s informacijama danim potencijalnim kupcima tijekom "cold callinga", DPA je utvrdio kršenje članka 14. GDPR-a budući da je tvrtka, kada je prikupila telefonski broj od treće strane za "cold calling", trebala obavijestiti osobu o svrhi obrade podataka ili postojanju različitih prava, a kako je utvrđeno (potencijalni) kupci s tim nisu uvijek bili upoznati.
Što se događalo dalje i što je utvrđeno kao četvrto?
Na temelju pritužbi koje su podnijela tri podnositelja pritužbe, DPA je smatrao da tvrtka nije ispunila svoje obveze prema članku 12. GDPR-a. Naime, DPA je primijetio da su zahtjevi podnositelja pritužbe jasni i upućeni izravno DPO-u tvrtke međutim, tvrtka nije ispitanicima pružila odgovore, a ni informacije o mjerama poduzetim kao odgovor na njihove zahtjeve (sve u roku od najviše mjesec dana prema članku 12. stavku 3. GDPR-a), potvrđujući kršenje članka 12. GDPR-a. Uzimajući ovo posljednje DPA je primijetio da je iz prikupljenih informacija jasno da je tvrtka primila zahtjeve podnositelja pritužbe, što znači da nije ispunila svoje obveze obrade i rješavanja zahtjeva, ne pridržavajući se ni članka 15. GDPR-a.
Osim svega gore navedenog, DPA se pozabavio ugovorom tvrtke s izvršiteljem obrade odnsono pružateljem usluge. Tijekom nadzora DPA je utvrdio da su u ugovoru sadržane sve relevantne odredbe prema članku 28. GDPR-a. Međutim, dokument je naknadno mijenjan i to bez priopćavanja agenciji za zaštitu podataka te je utvrđeno da u prvotnom ugovoru nisu bile uključene sve obveze prema članku 28. stavku 3. GDPR-a. Dakle, DPA je primijetio da novi dokumenti sadrže sve potrebne podatke i odredbe dok u odnosu na stari to nije bio slučaj. Unatoč navedenom nadzorno tijelo je smatralo da prethodne obrade nisu bile u skladu s člankom 28. stavkom 3. GDPR-a.
DPA je također utvrdio probleme vezane uz sigurnosne obveze i kršenje članka 32. GDPR-a i istaknuo da bi tvrtka trebala implementirati i politiku provjere autentičnosti kao osnovnu sigurnosnu mjeru za očuvanje sigurnosti lozinki te usklađenost s obvezama GDPR-a. U međuvremenu je MD4 algoritam koji je tvrtka koristila za pohranjivanje lozinki zaposlenika u vrijeme nadzora zastario i bio nedovoljno učinkovit da bi osigurao povjerljivost lozinki. Prema DPA godinama je poznato da je algoritam MD4 podložan ranjivosti i da ga napadači odmah mogu iskoristiti, a navedeno je tvrtka kao voditelj obrade morala znati.
Neobavještavanje o incidentu
Naposljetku, DPA se bavio propustom tvrtke da ispuni obvezu obavještavanja DPA-a o povredi osobnih podataka.
Doista, 5. veljače 2020. ispitanici su obavijestili tvrtku o povredi podataka jer su određeni ispitanici koji su pristupali njihovom računu mogli vidjeti informacije koje se odnose na druge ispitanike, poput njihove poštanske adrese i telefonskog broja. DPA je primijetio da je povreda utjecala na 10.154 ispitanika, što nije zanemariv broj, a budući da je povreda vjerojatno narušila pravo ispitanika na privatnost u dovoljno ozbiljnoj mjeri, tvrtka je trebala obavijestiti DPA o povredi osobnih podataka. Stoga je došlo do kršenja članka 33. GDPR-a.
Zbog brojnih, prethodno navedenih kršenja, od kojih su neka strukturalna i ozbiljna, a druga manje teška, te uzimajući u obzir kao olakotne čimbenike mjere koje je tvrtka poduzela, francuski DPA kaznio je tvrtku sa 600.000 eura temeljem članka 83. GDPR-a.
