W efekcie skarg dotyczących grupy Carrefour, francuski organ nadzoru w zakresie ochrony danych osobowych (CNIL) przeprowadził szereg kontroli od maja do lipca 2019 r. W efekcie ujawnione zostały niedociągnięcia dotyczące przetwarzania danych osobowych klientów oraz potencjalnych użytkowników, a prezes CNIL zdecydował o nałożeniu kary.
Po analizie stanu faktycznego organ nadzoru stwierdził niewywiązanie się przez podmioty
z niektórych wymogów stawianych przez RODO. W związku z powyższym na Carrefour France nałożona została kara w wysokości 2 250 000 euro oraz 800 000 euro na Carrefour Banque.
Zarzuty CNIL, które doprowadziły do nałożenia kary finansowej dotyczyły m.in.:
- Niedochowania okresów retencji danych w przypadku danych osobowych zebranych
w ramach programu lojalnościowego po ustaniu kontaktu z klientem. 28 mln rekordów przetwarzane, były przez okres od 5 do 10 lat. Podobna sytuacja dotyczyła 750 tys. Użytkowników carrefour.fr. Zgodnie ze stanowiskiem organu okres ten powinien wynosić maksymalnie 3 lata. - Niewystarczająca realizacja obowiązków informacyjnych. Stosowane klauzule informacyjne nie były jasne oraz precyzyjne. Uniemożliwiało to ich pełne zrozumienie przez podmioty danych. Dodatkowo w ramach pocztowych przesyłek reklamowych wskazywane były jedynie ogólne odniesienia do strony internetowej, nie zaś jej dokładny adres.
- Kopiowania dowodów osobistych oraz przechowywania ich kopii bez podstawy prawnej.
- Stosowanie licznych plików cookies m.in. w celach reklamowych, bez zebrania uprzednich zgód od osób odwiedzających strony internetowe.
- Umożliwienie dostępu do danych osobowych pochodzących z faktur klientów bez uprzedniego uwierzytelnienia, co dowodzi niezastosowania współmiernych środków technicznych i organizacyjnych w celu ochrony danych.
- Utrudnianie realizacji prawa osoby, której dane dotyczą, wynikającego z art. 12 RODO, poprzez wymaganie przedstawienia dowodu tożsamości dla każdego wniosku.
- Nierealizowanie praw osób wynikających z art. 15, 17 oraz 21 RODO. Carrefour France nie udzielił odpowiedzi na kilka wniosków dotyczących dostępu do danych osobowych. Dodatkowo w kilku przypadkach nie zrealizowało wniosku o usunięcie danych oraz dotyczących sprzeciwu na otrzymywanie reklam poprzez e-mail oraz SMS.
- Przekazywania danych w zakresie adresu pocztowego, numeru telefonu, liczbie dzieci przez Carrefour Banque, pomimo informacji, że zakres przekazania będzie dotyczył jedynie imienia, nazwiska oraz adresu e-mail przetwarzanych w ramach programu Carrefour Loyality.
Źródło:
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042563756