Frankrike: 250 000 euro i böter för Spartoo för brott mot GDPR

Den franska dataskyddsmyndigheten Commission Nationale de l’Informatique et des Libertés (“CNIL”) har bötfällt Spartoo SAS med 250 000 euro för brott mot dataskyddsförordningen (”GDPR”).

Av beslutet framgår att Spartoo, vid behandling av data för utbildning av anställda och bedrägeribekämpning, brutit mot principen om uppgiftsminimering enligt artikel 5.1 (c) GDPR, sparat personuppgifter längre än vad som var nödvändigt enligt artikel 5.1 (e) i GDPR, inte informerat om pågående personuppgiftsbehandling enligt artikel 13 i GDPR och inte vidtagit lämpliga skyddsåtgärder för att säkerställa säkerheten för personuppgifter enligt artikel 32 i GDPR.

Mot bakgrund av syftena med Spartoos behandling av personuppgifter ansåg CNIL att den kontinuerliga inspelningen av telefonsamtal med Spartoos kundtjänst, inspelningen av kunders bankuppgifter och insamlingen av kundernas sjukförsäkringskort var överdriven och stred mot principen om uppgiftsminimering enligt artikel 5.1 (c) GDPR.

Därutöver fann CNIL att Spartoo inte hade beslutat om lagringstider för kunddata och data för potentiella kunder (leeds), och att de inte regelbundet raderat och arkiverat personuppgifter. CNIL ansåg dessutom att behålla namn och lösenord under en period som överstiger fem år i en icke-anonymiserad form för att göra det möjligt för kunder att återanvända sitt konto stred mot principen om lagringsminimering i artikel 5.1 (e) i GDPR.

CNIL ansåg dessutom att kunderna var felaktigt informerade om de rättsliga grunderna för personuppgiftsbehandlingen och att anställda inte hade informerats tillräckligt om syftet bakom behandlingen, mottagarna av personuppgifterna, lagringsperioder och deras rättigheter, vilket innebär att Spartoo åsidosatt sin skyldighet att tillhandahålla information enligt artikel 13 i GPDR.

Slutligen noterade CNIL att Spartoo inte använt tillräckligt starka lösenord för att få åtkomst till kundkonton och därför inte lyckats säkerställa säkerheten för personuppgifter som behandlats av företaget enligt kraven i artikel 32 i GDPR.

CNIL beslutade att Spartoo, med beaktande av företagets tre miljoner kunder och 25 miljoner potentiella kunder, samt företagets lagring av bankuppgifter, ska betala 250 000 euro i böter för företagets behandling av personuppgifter i strid GDPR.

Mer information

Myndighet: Commission Nationale de l’Informatique et des Libertés (CNIL)

Land: Frankrike

Lagrum: Art. 5 GDPR, art. 13 GDPR, art. 32  GDPR

Sanktionsavgift: 250 000euro

Mottagare: Spartoo SAS

Beslutsnummer: SAN-2020-003

Beslutsdatum: 2020-07-28

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

03 OKT

Artificiell intelligens & personuppgifter

En genomgång av de viktigaste reglerna för artificiell intelligens ur ett dataskyddsperspektiv.

05 OKT

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.