Commission Nationale de l’Informatique et des Libertés (CNIL) har bötfällt Electricité de France (EDF) med 600 000 euro för överträdelser av dataskyddsförordningen (GDPR) och le code des postes et des communications électroniques (CPCE).
Av beslutet framgår att CNIL tagit emot flera klagomål om de svårigheter som enskilda mött när det gäller att få sina rättigheter tillgodosedda av EDF, Frankrikes största elbolag.
Mellan 2020 och 2021 har EDF genomfört en elektronisk marknadsföringskampanj. Företaget kunde dock inte visa CNIL att det fått ett giltigt samtycke från personerna i förväg. Under utredningen gav företaget CNIL två exempel på en standardblankett för insamling av uppgifter från potentiella kunder som tillhandahölls av en datamäklare. Företaget kunde dock inte förse CNIL med en förteckning över de parter till vilka uppgifterna skulle skickas, trots att en sådan förteckning måste göras tillgänglig för enskilda när de ger sitt samtycke.
Vidare var de åtgärder som EDF vidtagit med sina datamäklare, för att säkerställa att enskilda lämnar sitt samtycke på ett giltigt sätt, otillräckliga. Enligt EDF kontrollerade inte företaget vid tiden för CNIL:s utredning de samtyckesblanketter som användes. EDF genomförde inte heller revisioner av datamäklarna.
Enligt CNIL har EDF inte efterlevt skyldigheten att hämta in ett giltigt samtycke från enskilda som vill ta emot kommersiella marknadsföringsmeddelanden på elektronisk väg, vilket strider mot artiklarna L. 34-5 CPCE och 7 GDPR).
Under CNIL:s utredning konstaterades även andra överträdelser av regelverket.
I EDF:s integritetspolicy som fanns på företagets webbplats angavs inte den rättsliga grunden för samtliga behandlingar. Integritetspolicyn var inte heller tillräckligt detaljerad när det gällde lagringstider. Vidare angavs i det första marknadsföringsmeddelandet som EDF skickade till enskilda inte heller källan till uppgifterna på ett tillräckligt exakt sätt. EDF skrev bara att “uppgifterna samlades in från en organisation som specialiserat sig på datainrikning”, utan att ange exakt varifrån uppgifterna kom. CNIL ansåg att dessa brister strider mot EDF:s skyldigheter att tillhandahålla information enligt artiklarna 13 och 14 GDPR.
Därutöver konstaterade CNIL att EDF inte svarat vissa klagande inom den tidsfrist på en månad som föreskrivs i texten, vilket innebär bristande efterlevnad av de skyldigheter som gäller enligt villkoren för utövande av rättigheter enligt artikel 12 GDPR.
CNIL konstaterade även att EDF gett felaktig information om källan till de insamlade uppgifterna och inte tagit hänsyn till enskildas invändningar mot att ta emot marknadsföringsmeddelanden, vilket innebär en underlåtenhet att respektera rätten till tillgång till uppgifter enligt artikel 15 GDPR och de registrerades rätt till invändningar enligt artikel 21 GDPR.
Slutligen konstaterade CNIL att skyldigheten att garantera säkerheten för personuppgifter enligt artikel 32 GDPR åsidosatts, eftersom lösenorden till kundområdet på portalen “prime énergie” för mer än 25 000 konton förvarats på ett osäkert sätt fram till juli 2022, samt att lösenorden för att få tillgång till EDF:s kundområde för mer än 2,4 miljoner konton endast var hashade, utan att ha saltats vilket innebär en risk för uppgifterna.
Mot bakgrund av ovanstående beslutade CNIL:s organ som ansvarar för att införa sanktionsavgifter om att bötfälla EDF med 600 000 euro. Bötesbeloppet fastställdes mot bakgrund av de konstaterade överträdelserna och med hänsyn till EDF:s samarbete och alla åtgärder som det vidtagit under förfarandet för att följa alla de överträdelser som företaget anklagades för.