Den franska dataskyddsmyndigheten Commission Nationale de l’Informatique et des Libertés (“CNIL”) har bötfällt Spartoo SAS med 250 000 euro för brott mot dataskyddsförordningen (”GDPR”).
Av beslutet framgår att Spartoo, vid behandling av data för utbildning av anställda och bedrägeribekämpning, brutit mot principen om uppgiftsminimering enligt artikel 5.1 (c) GDPR, sparat personuppgifter längre än vad som var nödvändigt enligt artikel 5.1 (e) i GDPR, inte informerat om pågående personuppgiftsbehandling enligt artikel 13 i GDPR och inte vidtagit lämpliga skyddsåtgärder för att säkerställa säkerheten för personuppgifter enligt artikel 32 i GDPR.
Mot bakgrund av syftena med Spartoos behandling av personuppgifter ansåg CNIL att den kontinuerliga inspelningen av telefonsamtal med Spartoos kundtjänst, inspelningen av kunders bankuppgifter och insamlingen av kundernas sjukförsäkringskort var överdriven och stred mot principen om uppgiftsminimering enligt artikel 5.1 (c) GDPR.
Därutöver fann CNIL att Spartoo inte hade beslutat om lagringstider för kunddata och data för potentiella kunder (leeds), och att de inte regelbundet raderat och arkiverat personuppgifter. CNIL ansåg dessutom att behålla namn och lösenord under en period som överstiger fem år i en icke-anonymiserad form för att göra det möjligt för kunder att återanvända sitt konto stred mot principen om lagringsminimering i artikel 5.1 (e) i GDPR.
CNIL ansåg dessutom att kunderna var felaktigt informerade om de rättsliga grunderna för personuppgiftsbehandlingen och att anställda inte hade informerats tillräckligt om syftet bakom behandlingen, mottagarna av personuppgifterna, lagringsperioder och deras rättigheter, vilket innebär att Spartoo åsidosatt sin skyldighet att tillhandahålla information enligt artikel 13 i GPDR.
Slutligen noterade CNIL att Spartoo inte använt tillräckligt starka lösenord för att få åtkomst till kundkonton och därför inte lyckats säkerställa säkerheten för personuppgifter som behandlats av företaget enligt kraven i artikel 32 i GDPR.
CNIL beslutade att Spartoo, med beaktande av företagets tre miljoner kunder och 25 miljoner potentiella kunder, samt företagets lagring av bankuppgifter, ska betala 250 000 euro i böter för företagets behandling av personuppgifter i strid GDPR.