Dana 29. prosinca 2023. Francusko nadzorno tijelo za zaštitu podataka (CNIL) kaznilo je NS CARDS FRANCE sa 105.000 eura zbog nepoštivanja pravila o kolačićima i alatima za praćenje te zbog nekoliko kršenja GDPR-a u vezi s razdobljima čuvanja podataka, obavijestima za pojedince i sigurnošću podataka.
Web stranica neosurf.com i mobilna aplikacija "Neosurf" u vlasništvu društva NS CARDS FRANCE omogućuje online plaćanje nakon registracije na uslugu.
Krajem 2021. CNIL je proveo dva nadzora spomenute tvrtke. Utvrdio je kršenja koja se tiču vremena čuvanja podataka o korisničkom računu, informacija koje se daju pojedincima, sigurnosti podataka i metoda pohranjivanja kolačića i programa za praćenje na korisničkim terminalima.
Posljedica navedenih kršenja je izricanje kazni:
- novčana kazna za kršenje Opće uredbe o zaštiti podataka (GDPR). Ova je kazna izrečena u suradnji sa 17 nadzornih tijela u sklopu one-stop shopa, jer web stranica ima posjetitelje u nekoliko država članica EU-a, kao i u Norveškoj.
- novčana kazna za kršenje u vezi s upotrebom kolačića i alata za praćenje (članak 82. francuskog Zakona o zaštiti podataka). U tom slučaju CNIL je nadležan djelovati samostalno.
Kako bi odredio iznos kazni, CNIL je uzeo u obzir prirodu kršenja, nemar koji je tvrtka pokazala, kategorije osobnih podataka (uključujući bankovne podatke), broj ispitanika i financijsku situaciju tvrtke.
Što je utvrđeno kao kršenje?
CNIL je utvrdio tri kršenja GDPR-a, ali i kršenje francuskog Zakona o zaštiti podataka od strane NS CARDS FRANCE i to kako slijedi:
- Nepoštivanje obveze čuvanja podataka u razdoblju ograničenom na svrhu za koju su prikupljeni (članak 5.1.e GDPR-a).
Naime, tvrtka je odredila rok čuvanja podataka od deset godina, nakon čega su korisnički računi deaktivirani, ali ne i izbrisani. Podaci o računu stoga su čuvani na neodređeno vrijeme. Osim toga, desetogodišnje razdoblje čuvanja primijenjeno je na sve korisničke račune, bez sortiranja podataka koji se čuvaju, primjerice prema nekim pravilima potrošačkog prava.
CNIL je utvrdio da su prilikom kreiranja korisničkog računa na web stranici voditelja obrade prikupljeni prezime, ime, datum rođenja, poštanska adresa, e-mail adresa, telefonski broj, te po potrebi bankovni podaci, kao i osobni dokumenti, npr. dokaz o identitetu i prebivalištu. Dok je voditelj obrade odredio rok čuvanja od deset godina za ove podatke iz posljednje transakcije izvršene na računu, zapravo nije izvršeno nikakvo brisanje u bazama podataka od početka aktivnosti voditelja obrade 2005. Procijenjeno je da je 70.049 računa bilo neaktivno više od deset godina. Dodatno, 51.735 računa zadržano je nenamjenski, jer su bili "nepotvrđeni", tj. email adresa nije bila potvrđena kada je račun kreiran.
- Nepoštivanje obveze davanja obavijesti pojedincima (čl. 12. i 13. GDPR-a). I na svojoj web stranici i na svojoj mobilnoj aplikaciji, NS CARDS FRANCE informirao je ljude putem nepotpune i zastarjele politike privatnosti. Osim toga, ove su informacije dane na engleskom jeziku, dok je ciljna publika tvrtke uglavnom francusko govorno područje.
- Nepoštivanje obveza vezanih uz sigurnost osobnih podataka (čl. 32. GDPR-a).
Pravila složenosti lozinki za korisničke račune nisu bila dovoljno detaljna i nisu ispunjavala sve standarde. Voditelj obrade je omogućio korisnicima stvaranje lozinki računa od šest znakova, sastavljenih od samo tri kategorije znakova (velika slova, mala slova i brojevi), a CNIL je utvrdio da nisu implementirana nikakva ograničenja pristupa u slučaju neuspjeha autentifikacije. 49.214 lozinki također je pohranjeno u čistom tekstu u bazi podataka tvrtke i povezano s njihovom adresom e-pošte i identifikatorom.
- Nepoštivanje obveza koje se odnose na korištenje kolačića i alata za praćenje (članak 82. francuskog Zakona o zaštiti podataka).
Čak trinaest kolačića je pohranjeno prije nego što je korisnik mogao poduzeti bilo kakvu radnju, uključujući pristanak, nakon dolaska na početnu stranicu web stranice.
CNIL je primijetio da su Google Analytics kolačići pohranjeni bez pristanka.
Međutim, budući da ovi kolačići mogu sadržavati oglašivačke funkcije i, u svakom slučaju, omogućiti prikupljanje podataka koji se mogu koristiti za održavanje i zaštitu usluge Analytics, ne smiju se pohraniti na korisnikovu opremu bez njegovog pristanka.
Osim navedenog, tvrtka je koristila reCAPTCHA mehanizam, koji je omogućio Google, prilikom kreiranja računa i prilikom povezivanja na web stranicu i mobilnu aplikaciju. Ovaj mehanizam funkcionira prikupljanjem podataka o hardveru i softveru (kao što su podaci o uređaju i aplikaciji). Dok su prikupljeni podaci proslijeđeni Google-u na analizu, tvrtka nije dala nikakve informacije korisniku niti je dobila njihov prethodni pristanak, bilo za pristup informacijama pohranjenim na njihovoj opremi niti za pisanje informacija na njima. Nedobivanje privole za postavljanje Google Analytics kolačića utjecalo je na svakog posjetitelja web stranice, odnosno nekoliko stotina tisuća ljudi. Slično tome, neuspjeh u dobivanju pristanka za korištenje reCAPTCHA potencijalno je utjecao na svakog od 700.000 vlasnika računa u vrijeme istrage.
Nužno je paziti (sagledamo li ovaj slučaj) na sljedeće:
- razliku deaktivacije i brisanja računa
- rokovima čuvanja podataka sukladno analizi svrhovitosti
- procedure vezane uz neaktivne upravljanje korisničkim računima koje uključuju i neaktivne korisničke račune
- davanje obavijesti ispitanicima na transparentan način i sukladno svim zahtjevima GDPR-a
- ažurirati na vrijeme obavijesti ispitanicima
- paziti na pohranu lozinki u sustavima
- paziti na interne akte vezane uz ovlaštenja pristupa
- paziti na procedure vezane uz dodjelu lozinki, pohranjivanje i slično
- obavijesti i dokumentaciju na web stranicama
- na učitavanje kolačića i davanje adekvatne privole
U slučaju da vam treba pomoć, javite nam se kako bismo vam pomogli u implementaciji svih zahtjeva GDPR-a ili u reviziji i poboljšanju dosadašnjih procesa na ured@presido.hr
