Francuski organ do spraw ochrony danych osobowych (Commission Nationale de l’Informatique et des Libertés – CNIL) poinformował o nałożeniu kar finansowych na dwie spółki, tj. COSMOSPACE i TELEMAQUE. Kary to odpowiednio 250 000 euro (ponad milion złotych) dla COSMOSPACE i 150 000 euro (około 650 000 zł) dla TELEMAQUE. Organ nadzorczy zarzucił ukaranym spółkom, że te m.in. przetwarzały dane nadmiarowe, jak również gromadziły dane szczególnych kategorii bez wyraźnej zgody osób, których dane dotyczą. Pewnego kolorytu całej sprawie dodaje fakt, że naruszenia związane są ze świadczeniem przez ukarane spółki zdalnych usług jasnowidztwa. Rozstrzygnięcia w tej sprawie zostały skonsultowane z innymi organami nadzorczymi, w ramach mechanizmu współpracy.
Liczne naruszenia
CNIL poinformował, że obie ukarane spółki oferują zdalne usługi jasnowidztwa. COSMOSPACE za pośrednictwem połączeń telefonicznych, zaś TELEMAQUE z wykorzystaniem czatu internetowego i wiadomości SMS. Kontrole przeprowadzone przez regulatora w 2021 r. wykazały szereg nieprawidłowości w zakresie przetwarzania danych osobowych osób, które korzystały z usług ukaranych podmiotów. Naruszenia dotyczyły gromadzenia danych szczególnych kategorii (dane o stanie zdrowia i orientacji seksualnej) bez wyraźnej zgody podmiotów danych, przechowywanie danych przez zbyt długi czas, wysyłanie informacji handlowych bez zgody, jak również – w przypadku spółki COSMOSPACE – systematyczne nagrywanie rozmów z klientami.
Przetwarzanie danych wrażliwych bez wyraźnej zgody
Francuski regulator ustalił, że podczas korzystania z usług jasnowidztwa klienci ukaranych spółek mogli zostać poproszeni o ujawnienie swoich danych dotyczących stanu zdrowia, orientacji seksualnej, czy też przekonań religijnych. Dodatkowo, klienci mieli możliwość wypełnienia formularza online pozwalającego na ustalenie zgodności z określoną osobą, co umożliwiało spółkom wywnioskowanie informacji na temat orientacji seksualnej. CNIL wskazał, że spółki powinny były w tym przypadku pozyskiwać wyraźne zgody na przetwarzanie danych osobowych. Regulator zauważył przy tym, że sam fakt skorzystania z usług jasnowidztwa i udostępnienie w związku z tym danych szczególnych kategorii nie może być uznane za wyraźną zgodę. Dodatkowo, ukarane spółki powinny przekazać klientom informacje na temat przetwarzania ich danych szczególnych kategorii, czego nie uczyniły.
Problem z retencją danych
Organ nadzory ustalił, że spółka COSMOSPACE przechowywała dane klientów przez 6 lat po skorzystaniu przez nich z usług spółki i przetwarzała je w celu wysyłania informacji handlowych. W ocenie CNIL okres retencji został w tym przypadku określony nieprawidłowo, zaś sama spółka nie wykazała potrzeby przechowywania danych przez taki czas. Spółka TELEMAQUE również przetwarzała dane przez okres 6 lat, niemniej w żaden sposób nie ograniczała do nich dostępu, ani nie dokonywała ich sortowania. Regulator zwrócił uwagę, że jeżeli określone dane klientów mogą być archiwizowane przez określony czas (np. na potrzeby postępowania sądowego), obowiązkiem administratora jest odpowiednie posortowanie takich danych i zachowanie jedynie tych danych, które są niezbędne dla realizacji konkretnych celów.
Wszystkie rozmowy nagrane
CNIL ustalił, że spółka COSMOSPACE rejestrowała wszystkie rozmowy telefoniczne między klientami a jasnowidzami lub pracownikami infolinii. Spółka uzasadniała to m.in. koniecznością monitorowania jakości usług, celami szkoleniowymi, czy też ewentualną weryfikacją zawartych umów. Regulator wskazał, że cele przedstawione przez administratora nie uzasadniły rejestrowania wszystkich rozmów telefonicznych w sposób systematyczny. W ocenie organu nadzorczego, nagrania powinny być ograniczone jedynie do niezbędnych fragmentów rozmów, które umożliwiłyby spółce monitorowanie jakości świadczonych usług, czy też weryfikację kwestii związanych z zawarciem umowy. Co ciekawe, CNIL wskazał również, że w przypadku połączeń telefonicznych od osób, które mogą z jakichś względów pozostawać w niebezpieczeństwie, pracownicy spółki mogliby ręcznie uruchomić nagrywanie konkretnej rozmowy.
Wspólna baza danych
Francuski organ nadzorczy wskazał, że ukarane spółki posiadały wspólną bazę danych zawierającą wszystkie dane swoich klientów i potencjalnych klientów. Dane te były wykorzystywane m.in. do przesyłania informacji handlowych poprzez wiadomości e-mail i SMS. Dane pozyskiwane miały być głównie za pośrednictwem formularzy umieszczonych na stronach internetowych obu administratorów. Regulator zauważył, że klienci nie byli informowani, że ich dane osobowe mogą być wykorzystywane przez obydwie spółki, a konsekwentnie żaden z ukaranych podmiotów nie mógł opierać przetwarzania danych na ewentualnych zgodach uzyskanych przez drugą ze spółek.
Kara surowa, ale proporcjonalna
CNIL podkreślił, że wysokość nałożonych kar została ustalona przy uwzględnieniu wagi stwierdzonych naruszeń, liczby osób, których naruszenia te dotyczyły (baza danych obu spółek zawierać miała dane ponad 1,5 miliona osób), jak również wrażliwości przetwarzanych danych (dane szczególnych kategorii). Regulator wziął również pod uwagę struktury organizacyjne obu podmiotów oraz ich sytuację finansową, aby nałożone kary były odpowiednio odstraszające, ale równocześnie proporcjonalne.
Źródło:
