Frankrike: Cityscoot bötfälls med 125 000 euro för olika överträdelser av GDPR i samband med uthyrning av elsparkscyklar

Commission Nationale de l’Informatique et des Libertés (CNIL) har bötfällt Cityscoot med 125 000 euro för överträdelser av dataskyddsförordningen (GDPR).

Av beslutet framgår att den personuppgiftsansvarige är Cityscoot, ett företag som hyr ut elsparkcyklar via en mobilapplikation. Den personuppgiftsansvarige utförde gränsöverskridande behandling men hade sitt huvudsakliga säte i Frankrike. I enlighet med artikel 56 var CNIL därför behörig tillsynsmyndighet. I maj 2020 inledde CNIL en tillsyn av den personuppgiftsansvariges webbplats och mobilapp. Denna tillsyn belyste huvudsakligen tre punkter.

För det första var företagets elsparkcyklar utrustade med elektroniska lådor som innehöll ett SIM-kort och ett GPS-system för geografisk lokalisering. Detta gjorde det möjligt att samla in platsdata var 30:e sekund när elsparkcykeln var aktiv och var 15:e minut när den inte var det. Dessa uppgifter samlades in av företaget för ändamålen att upptäcka och hantera trafikförseelser, att hantera kundklagomål, användarstöd (för att ringa efter hjälp om en användare skulle falla), reklamationer och stöldhantering.

För det andra använde den personuppgiftsansvarige 15 personuppgiftsbiträden på grundval av avtal som inte innehöll all den information som krävs enligt dataskyddsförordningen. I ett av avtalen nämndes till exempel inte personuppgiftsbiträdets skyldighet att ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att de fastställda skyldigheterna fullgörs. I ett annat avtal angavs inte syftet med behandlingen av personuppgifter eller dess varaktighet.

För det tredje tillhandahöll den personuppgiftsansvarige ingen information och hade ingen banner för samtycke till cookies på sin webbplats.

CNIL inledde med att påpeka att geolokaliseringsuppgifter, när en elsparkcykel hyrs, utgör personuppgifter. CNIL hänvisade till EDPB:s riktlinjer 01/2020 och ansåg att detta är känsliga uppgifter i ordets vanliga bemärkelse, även om de inte omfattas av artikel 9 GDPR. Å andra sidan, när elsparkcykeln inte hyrs ut, är uppgifterna inte personuppgifter.

CNIL analyserade sedan relevansen och nödvändigheten av att samla in uppgifter för varje ändamål. När det gäller hanteringen av trafikförseelser ansåg CNIL att det var tillräckligt att känna till datum och tid för uthyrningens början och slut samt datum och tid för förseelsen för att uppfylla detta syfte. CNIL ansåg också att insamlingen av uppgifter från alla elsparkcyklar var 30:e sekund var överdriven för detta ändamål eftersom den inte berörde alla användare och endast tjänade ett tillfälligt syfte i händelse av att en användare ville bestrida en överträdelse.

När det gäller hanteringen av kundklagomål ansåg CNIL att insamlingen av uppgifter var 30:e sekund inte var nödvändig för detta ändamål. CNIL förklarade att mindre påträngande mekanismer kunde användas, såsom att utlösa geolokalisering när användaren begär hjälp med applikationen eller skicka ett textmeddelande för att bekräfta att användaren har avslutat uthyrningen.

När det gäller hanteringen av stölder under uthyrning ansåg CNIL att även om den personuppgiftsansvarige inte korsrefererade geolokaliseringsdata med användardata, motiverade möjligheten att göra denna avstämning mellan de olika databaserna att elsparkcykelns positionsdata omfattas av dataskyddsförordningen. I detta fall ansåg CNIL att den konstanta insamlingen var överdriven för att uppnå syftet att hantera stölder. CNIL ansåg att geolokalisering till exempel borde samlas in från stöldanmälan.

För olyckshantering ansåg CNIL att geolokalisering endast bör aktiveras när en olycka inträffar/rapporteras och inte permanent. Det var därför inte nödvändigt att samla in geolokalisering av elsparkcyklar var 30:e sekund för att tillhandahålla assistans i händelse av en olycka. CNIL drog slutsatsen att inget av ändamålen motiverade insamling av lokaliseringsuppgifter var 30:e sekund, och konstaterade en överträdelse av artikel 5.1 (c) GDPR.

För det andra, vad gäller förhållandet mellan den personuppgiftsansvarige och personuppgiftsbiträdena, ansåg CNIL att avtalen var alltför ofullständiga och konstaterade en klar överträdelse av artikel 28.3 GDPR.

För det tredje ansåg CNIL att den personuppgiftsansvarige inte kunde åberopa undantaget enligt nationell rätt och därför var tvungen att informera användarna och inhämta deras samtycke till att placera cookies enligt artikel 82 Loi informatiques et libertés (dataskyddslagen). Den personuppgiftsansvarige bröt därför mot denna bestämmelse.

Följaktligen fann CNIL en överträdelse av artiklarna 5.1 (c) och 28.3 GDPR och ålade ett bötesbelopp på 100 000 euro. För överträdelsen av artikel 82 dataskyddslagen ålade CNIL ett bötesbelopp på 25 000 euro.

Mer information

Myndighet: Commission Nationale de l’Informatique et des Libertés (CNIL)

Land: Frankrike

Lagrum: Art. 5 GDPR, art. 28 GDPR, art. 56 GDPR, art. 60 GDPR, art. 82 Loi informatiques et libertés

Sanktionsavgift: 125 000 euro

Mottagare: Cityscott

Beslutsnummer: SAN-2023-003

Beslutsdatum: 2023-03-16

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

03 OKT

Artificiell intelligens & personuppgifter

En genomgång av de viktigaste reglerna för artificiell intelligens ur ett dataskyddsperspektiv.

05 OKT

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

07 MAR

Molntjänster & tredjelandsöverföringar

En genomgång av de viktigaste reglerna för tredjelandsöverföringar vid användning av molntjänster enligt GDPR.