Francuski organ nadzorczy do spraw ochrony danych osobowych (Commission Nationale de l’Informatique et des Libertés – CNIL) poinformował o nałożeniu kary finansowej na francuską spółkę KASPR, która oferuje rozszerzenie do przeglądarki internetowej pozwalające pozyskiwać dane kontaktowe osób posiadających profile na popularnym portalu LinkedIn. Regulator stwierdził m.in., że w ramach tej usługi administrator przetwarzał część danych bez podstawy prawnej. Organ nadzorczy wycenił naruszenia spółki na 240 000 euro (około milion złotych).
Obszerna baza danych
Spółka KASPR oferuje usługę internetową ułatwiającą nawiązywanie kontaktów z osobami korzystającymi z platformy społecznościowej Linkedin. Usługa ta ma postać rozszerzenia do przeglądarki, która umożliwia pozyskiwanie danych osobowych użytkowników portalu. Według ustaleń regulatora, administrator jest w stanie świadczyć tego typu usługę dzięki stworzeniu i utrzymaniu obszernej bazy danych, zawierającej informacje kontaktowe około 160 milionów osób. Na skutek licznych skarg, CNIL, wszczął postępowanie, w toku którego stwierdził nieprawidłowości związane z gromadzeniem tych danych.
Problem z pozyskiwaniem danych
Organ nadzorczy ustalił, że większość danych przetwarzanych przez KASPR pochodziła z profilów użytkowników portalu Linkedin. Platforma ta oferuje możliwość wyboru jednego z kilku poziomów widoczności profilu. Może on być skonfigurowany tak, żeby był widoczny dla wszystkich, niewidoczny w ogóle, lub też stopniować tę widoczność dla określonych kręgów kontaktów. CNIL ustalił, że KASPR przetwarzał dane pochodzące nie tylko z kont widocznych dla wszystkich, ale także z tych, w których widoczność została ograniczona do kontaktów pierwszego i drugiego stopnia. Organ uznał, że w sytuacji, w której użytkownik explicite ograniczył dostępność swoich danych, nie można wykorzystywać takich profili jako źródła danych na równi z profilami dostępnymi publicznie. W ocenie francuskiego regulatora, ukarana spółka w tym zakresie przetwarzała dane osobowe bez podstawy prawnej.
Inne przewinienia administratora
CNIL ustalił, że ukarany administrator dopuścił się również innych naruszeń, w tym w zakresie retencji (usuwania) danych oraz realizacji obowiązków informacyjnych. Z ustaleń regulatora wynika, że spółka przechowywała zgromadzone w ten sposób dane osobowe przez okres 5 lat od każdej aktualizacji przez użytkownika informacji na jego koncie. Zdaniem organu nadzorczego, taki mechanizm powodował, że dane osobowe były przechowywane przez zbyt długi czas. Ponadto CNIL wskazał, że ukarana spółka informowała osoby, których dane dotyczą, o przetwarzaniu ich danych osobowych jedynie w języku angielskim. Dodatkowo, sposób ogólnikowy i niewystarczający m.in. w zakresie źródła pozyskania danych.
Surowa kara
W konsekwencji stwierdzonych uchybień, CNIL nałożył na administratora karę w wysokości 240 000 euro (około milion złotych). Nakazał on również usunięcie naruszeń. W tym zakresie spółka została zobowiązana do zaprzestania gromadzenia danych z kont, których użytkownicy zdecydowali o ograniczeniu widoczności danych i usunąć pochodzące z nich dane, a w razie gdyby nie było to możliwe, poinformować zainteresowanych o możliwości sprzeciwienia się wobec przetwarzania danych. Dodatkowo CNIL wskazał, że informacje o przetwarzaniu danych powinny być udostępnione przez administratora w języku zrozumiałym dla użytkownika i z wyraźnym wskazaniem źródła pochodzenia danych, a okres retencji danych powinien zostać określony w sposób adekwatny. CNIL wyznaczył administratorowi pół roku na realizację tych zobowiązań.
Źródło: