Commission Nationale de l’Informatique et des Libertés (CNIL) har utfärdat en sanktionsavgift på 250 000 euro mot Cosmospace för överträdelser av dataskyddsförordningen (GDPR) och den franska lagen om elektronisk kommunikation (Code des postes et des communications électroniques, CPCE).
Av beslutet framgår att Cosmospace erbjuder psykiatriska tjänster på distans via telefon, chatt och sms, och samlar in personuppgifter från befintliga och potentiella kunder genom bland annat kontaktformulär på egna och partners webbplatser i syfte att marknadsföra sina tjänster. I samband med en granskning som genomfördes av CNIL i november och december 2021, både genom tillsyn online och vid platsbesök i bolagets lokaler, konstaterades flera brister i bolagets efterlevnad av tillämpliga dataskyddsregler.
CNIL konstaterade att Cosmospace lagrade personuppgifter i upp till sex år efter att kundförhållandet avslutats, utan att på ett tillfredsställande sätt kunna motivera varför uppgifterna behövde bevaras under så lång tid. Enligt artikel 5.1 (e) GDPR får personuppgifter endast förvaras så länge som är nödvändigt för de ändamål för vilka uppgifterna behandlas. CNIL ansåg att den fastställda lagringstiden var oproportionerlig i förhållande till syftet, särskilt då syftet med behandlingen var att hantera den kommersiella relationen, och att en lagringsperiod om tre år vore mer förenlig med principen om lagringsminimering.
Vidare konstaterade CNIL att Cosmospace kategoriskt spelade in samtliga telefonsamtal mellan företaget och dess kunder, varav hälften raderades vid dagens slut och resterande lagrades i sex år. Denna generella inspelningspraxis ansågs stå i strid med artikel 5.1 (c) GDPR, som föreskriver att personuppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålen med behandlingen. CNIL bedömde att ett urval av samtal skulle ha varit tillräckligt för utbildnings- och kvalitetsändamål, och att den tillämpade metoden innebar en överdriven behandling av personuppgifter.
Cosmospace behandlade även uppgifter som omfattas av särskilda kategorier enligt artikel 9 GDPR, såsom kön, födelsedatum, födelsetid, födelseort och psykologiska uppgifter som lämnades av kunder vid distanskonsultationer. CNIL fann att bolaget inte inhämtade uttryckligt samtycke till denna behandling i enlighet med artikel 9.2 (a) GDPR. Cosmospace gjorde gällande att uppgifterna inte behandlades utan enbart registrerades, men CNIL avvisade detta argument och klargjorde att inspelning, lagring och radering av uppgifter utgör behandling i den mening som avses i artikel 4.2 GDPR. Vidare noterade myndigheten att samtycke inte kunde anses ha lämnats frivilligt, specifikt, informerat och otvetydigt, i enlighet med definitionen i artikel 4.11 GDPR, eftersom varken tillräcklig information om behandlingen gavs eller något samtycke uttryckligen inhämtades i kontaktformulären eller i samband med användning av chattfunktioner.
Vad gäller marknadsföringsåtgärder konstaterade CNIL att Cosmospace samlade in kontaktuppgifter genom formulär där varken bolaget självt eller dess partners tydligt angavs som mottagare av uppgifterna. Informationen om behandlingen var bristfällig, svåråtkomlig och delvis dold i svårtolkade länkar eller fotnoter. CNIL bedömde att detta innebar en överträdelse av artikel L.34-5 CPCE, som kräver att användare på förhand informeras på ett klart och tydligt sätt och ger sitt samtycke innan elektroniska marknadsföringsmeddelanden får skickas till dem. De ändringar som Cosmospace genomförde under granskningsprocessen ansågs otillräckliga för att uppfylla dessa krav.
Mot bakgrund av ovanstående överträdelser beslutade CNIL att ålägga Cosmospace en administrativ sanktionsavgift om 200 000 euro för överträdelser av artiklarna 5.1 (e), 5.1 (c) och 9 GDPR samt ytterligare 50 000 euro för överträdelse av artikel L.34-5 CPCE.