Frankrike: Discord bötfälls med 800 000 euro för bristande säkerhet och lagring av personuppgifter

Commission Nationale de l’Informatique et des Libertés (CNIL) har bötfällt Discord Inc. med 800 000 euro för överträdelser av dataskyddsförordningen (GDPR).

Av beslutet framgår att CNIL genomfört en granskning av webbplatsen discord.com och mobilapplikationen Discord den 17 november 2020, som följdes upp med ett frågeformulär.

Discord tillhandahåller IP-telefoni och snabbmeddelandetjänster, där användare kan skapa servrar, text-, röst- och videokanaler. Discords huvudkontor ligger i USA. Under sin granskning konstaterade CNIL ett flertal brister i behandlingen av personuppgifter.

Som en del av granskningsprocessen meddelade Discord att företaget inte har en skriftlig policy för lagring av personuppgifter. CNIL konstaterade att det fanns över 2 474 000 konton tillhörande franska användare i företagets databas som inte använt sitt konto på mer än tre år och 58 000 oanvända konton i mer än fem år. Enligt CNIL utgör detta en överträdelse av principen om lagringsminimering enligt artikel 5.1 (e) GDPR. Vid tidpunkten för granskningen konstaterade CNIL även att informationen om Discords lagringstider var ofullständig då den varken innehöll exakta perioder eller kriterier för att fastställa dessa, vilket utgör en överträdelse av artikel 13 GDPR.

Vidare konstaterade CNIL att när en användare, som är ansluten till ett samtal, stänger applikationsfönstret genom att klicka på X-ikonen längst upp till höger i Microsoft Windows, placeras applikationen egentligen i bakgrunden, men kontakten för rösttjänsten hålls öppen. Denna tekniska lösning är enligt CNIL annorlunda och kan leda till att användare hörs av andra användare som är uppkopplade trots att de trott att de lämnat samtalet. CNIL ansåg därför att Discords lösning utgör en överträdelse av kravet på dataskydd som standard (Privacy by Default) enligt artikel 25.2 GDPR och att företaget borde ha informerat användaren om att dennes ord fortsatte att överföras och höras av tredje part.

Vid tidpunkten för granskningen accepterades ett lösenord bestående av sex tecken inklusive bokstäver och siffror när användaren skapade ett konto hos Discord. Enligt CNIL var denna policy för lösenordshantering inte tillräckligt robust och restriktiv för att garantera säkerheten för användarkonton, vilket utgör en överträdelse av kravet på lämpliga säkerhetsåtgärder vid behandling av personuppgifter enligt artikel 32 GDPR.

Slutligen konstaterade CNIL att Discord, med hänsyn till mängden data som företaget behandlar och minderårigas användning av dess tjänster, borde ha genomfört konsekvensbedömning avseende dataskydd enligt artikel 35 GDPR, något som företaget ansåg inte vara nödvändigt för denna typ av behandling.

Mot bakgrund av ovanstående beslutade CNIL:s organ som ansvarar för att införa sanktionsavgifter om att bötfälla Discord med 800 000 euro.

Mer information

Myndighet: Commission Nationale de l’Informatique et des Libertés (CNIL)

Land: Frankrike

Lagrum: Art. 5 GDPR, art. 13 GDPR, art. 25 GDPR, art. 32 GDPR, art. 35 GDPR

Sanktionsavgift: 800 000 euro

Mottagare: Discord Inc.

Beslutsnummer: SAN-2022-020

Beslutsdatum: 2022-11-10

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

30 MAR

Introduktion till AI-förordningen

Få en genomgång av de viktigaste reglerna i nya AI-förordningen och hur AI-system kan användas på ett lagenligt sätt.

20 APR

Privacy by Design & Privacy by Default

En genomgång av de viktigaste åtgärderna för inbyggt dataskydd och dataskydd som standard.

27 APR

Informationssäkerhet & personuppgifter

Få en övergripande introduktion till informationssäkerhet vid behandling av personuppgifter.