Французький орган із захисту даних CNIL оштрафував GROUPE CANAL+ на 600к євро

Французький орган із захисту даних (CNIL) оштрафував GROUPE CANAL+ на 600 000 євро за недотримання своїх зобов’язань щодо надання згоди комерційне дослідження фізичних осіб

CNIL отримав багато скарг щодо труднощів, з якими стикаються окремі особи в тому, щоб їхні права були враховані GROUPE CANAL+, яка транслює ТВ канали та розповсюджує пропозиції платного телебачення. На підставі результатів розслідування CNIL вирішив, що GROUPE CANAL+ не виконала низку зобов’язань, викладених у GDPR та кодексу зв'язку (CPCE). Тож CNIL наклав на GROUPE CANAL+ штраф у розмірі 600 000 євро.

Розмір штрафу було прийнято у світлі виявлених порушень, а також беручи до уваги співпрацю компанії та всі заходи, які вона вжила під час процедури, щоб привести у відповідність щодо порушень, у яких її звинувачували.

GROUPE CANAL+ регулярно проводить комерційні пошукові кампанії за допомогою електронних засобів. Однак він не зміг надати жодних доказів того, що отримав дійсну попередню згоду від окремих осіб (статті L. 34-5 французького CPCE та 7 GDPR).

Під час розслідування компанія надала CNIL два приклади стандартних форм збору даних про перспективи, наданих її комерційними партнерами, від яких вона збирає дані. Однак жодної інформації про особу одержувачів, яким було передано дані, не було надано ні у формах збору, ні через гіпертекстові посилання, які можна натиснути. Щоб згода була інформованою та дійсною, перелік партнерів, які отримують дані, має бути доступним особам під час отримання їхньої згоди.

Нарешті, заходи, вжиті GROUPE CANAL + разом зі своїми постачальниками даних, щоб переконатися, що згода була дійсно надана особами до агітації, були недостатніми.

Перевірки, проведені CNIL, також виявили інші порушення, які були включені в рішення про санкції:

• Неінформування осіб під час створення облікового запису MyCanal: політика конфіденційності, на яку посилалася форма збору під час створення облікового запису, була неточною щодо періодів зберігання (стаття 13 GDPR);
• Порушення обов’язку щодо інформування осіб під час телефонного пошуку: постачальник послуг компанії, відповідальний за телефонний пошук, систематично не надавав усю інформацію, яку вимагає GDPR;
• Невиконання зобов’язань щодо умов реалізації прав суб’єктів даних (стаття 12 GDPR): зокрема, компанія не відповіла певним скаржникам протягом місячного терміну, передбаченого законодавством;
• Недотримання права на доступ до даних (стаття 15 GDPR). Компанія не відповіла на деякі запити на доступ.

Також під час розслідування CNIL виявив, що договір процесора не включав усю інформацію, яку вимагає стаття 28.3 GDPR та виявила порушення зобов'язань щодо забезпечення безпеки персональних даних, оскільки зберігання паролів співробітників компанії було недостатньо безпечним.

Розслідування CNIL виявили наявність витоку даних, через який деякі дані абонентів стали доступними для інших абонентів протягом 5 годин, і про що не було повідомлено CNIL.

CNIL