Commission Nationale de l’Informatique et des Libertés (CNIL) har bötfällt Discord Inc. med 800 000 euro för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att CNIL genomfört en granskning av webbplatsen discord.com och mobilapplikationen Discord den 17 november 2020, som följdes upp med ett frågeformulär.
Discord tillhandahåller IP-telefoni och snabbmeddelandetjänster, där användare kan skapa servrar, text-, röst- och videokanaler. Discords huvudkontor ligger i USA. Under sin granskning konstaterade CNIL ett flertal brister i behandlingen av personuppgifter.
Som en del av granskningsprocessen meddelade Discord att företaget inte har en skriftlig policy för lagring av personuppgifter. CNIL konstaterade att det fanns över 2 474 000 konton tillhörande franska användare i företagets databas som inte använt sitt konto på mer än tre år och 58 000 oanvända konton i mer än fem år. Enligt CNIL utgör detta en överträdelse av principen om lagringsminimering enligt artikel 5.1 (e) GDPR. Vid tidpunkten för granskningen konstaterade CNIL även att informationen om Discords lagringstider var ofullständig då den varken innehöll exakta perioder eller kriterier för att fastställa dessa, vilket utgör en överträdelse av artikel 13 GDPR.
Vidare konstaterade CNIL att när en användare, som är ansluten till ett samtal, stänger applikationsfönstret genom att klicka på X-ikonen längst upp till höger i Microsoft Windows, placeras applikationen egentligen i bakgrunden, men kontakten för rösttjänsten hålls öppen. Denna tekniska lösning är enligt CNIL annorlunda och kan leda till att användare hörs av andra användare som är uppkopplade trots att de trott att de lämnat samtalet. CNIL ansåg därför att Discords lösning utgör en överträdelse av kravet på dataskydd som standard (Privacy by Default) enligt artikel 25.2 GDPR och att företaget borde ha informerat användaren om att dennes ord fortsatte att överföras och höras av tredje part.
Vid tidpunkten för granskningen accepterades ett lösenord bestående av sex tecken inklusive bokstäver och siffror när användaren skapade ett konto hos Discord. Enligt CNIL var denna policy för lösenordshantering inte tillräckligt robust och restriktiv för att garantera säkerheten för användarkonton, vilket utgör en överträdelse av kravet på lämpliga säkerhetsåtgärder vid behandling av personuppgifter enligt artikel 32 GDPR.
Slutligen konstaterade CNIL att Discord, med hänsyn till mängden data som företaget behandlar och minderårigas användning av dess tjänster, borde ha genomfört konsekvensbedömning avseende dataskydd enligt artikel 35 GDPR, något som företaget ansåg inte vara nödvändigt för denna typ av behandling.
Mot bakgrund av ovanstående beslutade CNIL:s organ som ansvarar för att införa sanktionsavgifter om att bötfälla Discord med 800 000 euro.