Frankrike: Electricité de France bötfälls med 600 000 euro för brister i samband med direktmarknadsföring

Commission Nationale de l’Informatique et des Libertés (CNIL) har bötfällt Electricité de France (EDF) med 600 000 euro för överträdelser av dataskyddsförordningen (GDPR) och le code des postes et des communications électroniques (CPCE).

Av beslutet framgår att CNIL tagit emot flera klagomål om de svårigheter som enskilda mött när det gäller att få sina rättigheter tillgodosedda av EDF, Frankrikes största elbolag.

Mellan 2020 och 2021 har EDF genomfört en elektronisk marknadsföringskampanj. Företaget kunde dock inte visa CNIL att det fått ett giltigt samtycke från personerna i förväg. Under utredningen gav företaget CNIL två exempel på en standardblankett för insamling av uppgifter från potentiella kunder som tillhandahölls av en datamäklare. Företaget kunde dock inte förse CNIL med en förteckning över de parter till vilka uppgifterna skulle skickas, trots att en sådan förteckning måste göras tillgänglig för enskilda när de ger sitt samtycke.

Vidare var de åtgärder som EDF vidtagit med sina datamäklare, för att säkerställa att enskilda lämnar sitt samtycke på ett giltigt sätt, otillräckliga. Enligt EDF kontrollerade inte företaget vid tiden för CNIL:s utredning de samtyckesblanketter som användes. EDF genomförde inte heller revisioner av datamäklarna.

Enligt CNIL har EDF inte efterlevt skyldigheten att hämta in ett giltigt samtycke från enskilda som vill ta emot kommersiella marknadsföringsmeddelanden på elektronisk väg, vilket strider mot artiklarna L. 34-5 CPCE och 7 GDPR).

Under CNIL:s utredning konstaterades även andra överträdelser av regelverket.

I EDF:s integritetspolicy som fanns på företagets webbplats angavs inte den rättsliga grunden för samtliga behandlingar. Integritetspolicyn var inte heller tillräckligt detaljerad när det gällde lagringstider. Vidare angavs i det första marknadsföringsmeddelandet som EDF skickade till enskilda inte heller källan till uppgifterna på ett tillräckligt exakt sätt. EDF skrev bara att “uppgifterna samlades in från en organisation som specialiserat sig på datainrikning”, utan att ange exakt varifrån uppgifterna kom. CNIL ansåg att dessa brister strider mot EDF:s skyldigheter att tillhandahålla information enligt artiklarna 13 och 14 GDPR.

Därutöver konstaterade CNIL att EDF inte svarat vissa klagande inom den tidsfrist på en månad som föreskrivs i texten, vilket innebär bristande efterlevnad av de skyldigheter som gäller enligt villkoren för utövande av rättigheter enligt artikel 12 GDPR.

CNIL konstaterade även att EDF gett felaktig information om källan till de insamlade uppgifterna och inte tagit hänsyn till enskildas invändningar mot att ta emot marknadsföringsmeddelanden, vilket innebär en underlåtenhet att respektera rätten till tillgång till uppgifter enligt artikel 15 GDPR och de registrerades rätt till invändningar enligt artikel 21 GDPR.

Slutligen konstaterade CNIL att skyldigheten att garantera säkerheten för personuppgifter enligt artikel 32 GDPR åsidosatts, eftersom lösenorden till kundområdet på portalen “prime énergie” för mer än 25 000 konton förvarats på ett osäkert sätt fram till juli 2022, samt att lösenorden för att få tillgång till EDF:s kundområde för mer än 2,4 miljoner konton endast var hashade, utan att ha saltats vilket innebär en risk för uppgifterna.

Mot bakgrund av ovanstående beslutade CNIL:s organ som ansvarar för att införa sanktionsavgifter om att bötfälla EDF med 600 000 euro. Bötesbeloppet fastställdes mot bakgrund av de konstaterade överträdelserna och med hänsyn till EDF:s samarbete och alla åtgärder som det vidtagit under förfarandet för att följa alla de överträdelser som företaget anklagades för.

Mer information

Myndighet: Commission Nationale de l’Informatique et des Libertés (CNIL)

Land: Frankrike

Lagrum: Art. 7 GDPR, art. 12 GDPR, art. 13 GDPR, art. 14 GDPR, art. 15 GDPR, art. 21 GDPR, art. 32 GDPR, art. L. 34-5 CPCE

Sanktionsavgift: 800 000 euro

Mottagare: Electricité de France (EDF)

Beslutsnummer: SAN-2022-021

Beslutsdatum: 2022-11-24

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

09 MAR

Introduktion till dataskyddsförordningen

Lär dig om grunderna i GDPR och vad som gäller vid behandling av personuppgifter.

16 MAR

Molntjänster och tredjelandsöverföringar

Få en genomgång av reglerna för tredjelandsöverföringar vid användning av molntjänster.

23 MAR

Konsekvensbedömning avseende dataskydd

Lär dig att göra en konsekvensbedömning avseende dataskydd i praktiken.