Dana 29. prosinca 2023. Francusko nadzorno tijelo za zaštitu podataka (CNIL) kaznilo je NS CARDS FRANCE sa 105.000 eura zbog nepoštivanja pravila o kolačićima i alatima za praćenje te zbog nekoliko kršenja GDPR-a u vezi s razdobljima čuvanja podataka, obavijestima za pojedince i sigurnošću podataka.
Web stranica neosurf.com i mobilna aplikacija "Neosurf" u vlasništvu društva NS CARDS FRANCE omogućuje online plaćanje nakon registracije na uslugu.
Krajem 2021. CNIL je proveo dva nadzora spomenute tvrtke. Utvrdio je kršenja koja se tiču vremena čuvanja podataka o korisničkom računu, informacija koje se daju pojedincima, sigurnosti podataka i metoda pohranjivanja kolačića i programa za praćenje na korisničkim terminalima.
Posljedica navedenih kršenja je izricanje kazni:
Kako bi odredio iznos kazni, CNIL je uzeo u obzir prirodu kršenja, nemar koji je tvrtka pokazala, kategorije osobnih podataka (uključujući bankovne podatke), broj ispitanika i financijsku situaciju tvrtke.
Što je utvrđeno kao kršenje?
CNIL je utvrdio tri kršenja GDPR-a, ali i kršenje francuskog Zakona o zaštiti podataka od strane NS CARDS FRANCE i to kako slijedi:
Naime, tvrtka je odredila rok čuvanja podataka od deset godina, nakon čega su korisnički računi deaktivirani, ali ne i izbrisani. Podaci o računu stoga su čuvani na neodređeno vrijeme. Osim toga, desetogodišnje razdoblje čuvanja primijenjeno je na sve korisničke račune, bez sortiranja podataka koji se čuvaju, primjerice prema nekim pravilima potrošačkog prava.
CNIL je utvrdio da su prilikom kreiranja korisničkog računa na web stranici voditelja obrade prikupljeni prezime, ime, datum rođenja, poštanska adresa, e-mail adresa, telefonski broj, te po potrebi bankovni podaci, kao i osobni dokumenti, npr. dokaz o identitetu i prebivalištu. Dok je voditelj obrade odredio rok čuvanja od deset godina za ove podatke iz posljednje transakcije izvršene na računu, zapravo nije izvršeno nikakvo brisanje u bazama podataka od početka aktivnosti voditelja obrade 2005. Procijenjeno je da je 70.049 računa bilo neaktivno više od deset godina. Dodatno, 51.735 računa zadržano je nenamjenski, jer su bili "nepotvrđeni", tj. email adresa nije bila potvrđena kada je račun kreiran.
Pravila složenosti lozinki za korisničke račune nisu bila dovoljno detaljna i nisu ispunjavala sve standarde. Voditelj obrade je omogućio korisnicima stvaranje lozinki računa od šest znakova, sastavljenih od samo tri kategorije znakova (velika slova, mala slova i brojevi), a CNIL je utvrdio da nisu implementirana nikakva ograničenja pristupa u slučaju neuspjeha autentifikacije. 49.214 lozinki također je pohranjeno u čistom tekstu u bazi podataka tvrtke i povezano s njihovom adresom e-pošte i identifikatorom.
Čak trinaest kolačića je pohranjeno prije nego što je korisnik mogao poduzeti bilo kakvu radnju, uključujući pristanak, nakon dolaska na početnu stranicu web stranice.
CNIL je primijetio da su Google Analytics kolačići pohranjeni bez pristanka.
Međutim, budući da ovi kolačići mogu sadržavati oglašivačke funkcije i, u svakom slučaju, omogućiti prikupljanje podataka koji se mogu koristiti za održavanje i zaštitu usluge Analytics, ne smiju se pohraniti na korisnikovu opremu bez njegovog pristanka.
Osim navedenog, tvrtka je koristila reCAPTCHA mehanizam, koji je omogućio Google, prilikom kreiranja računa i prilikom povezivanja na web stranicu i mobilnu aplikaciju. Ovaj mehanizam funkcionira prikupljanjem podataka o hardveru i softveru (kao što su podaci o uređaju i aplikaciji). Dok su prikupljeni podaci proslijeđeni Google-u na analizu, tvrtka nije dala nikakve informacije korisniku niti je dobila njihov prethodni pristanak, bilo za pristup informacijama pohranjenim na njihovoj opremi niti za pisanje informacija na njima. Nedobivanje privole za postavljanje Google Analytics kolačića utjecalo je na svakog posjetitelja web stranice, odnosno nekoliko stotina tisuća ljudi. Slično tome, neuspjeh u dobivanju pristanka za korištenje reCAPTCHA potencijalno je utjecao na svakog od 700.000 vlasnika računa u vrijeme istrage.
Nužno je paziti (sagledamo li ovaj slučaj) na sljedeće:
U slučaju da vam treba pomoć, javite nam se kako bismo vam pomogli u implementaciji svih zahtjeva GDPR-a ili u reviziji i poboljšanju dosadašnjih procesa na ured@presido.hr