Commission Nationale de l’Informatique et des Libertés (CNIL) har bötfällt operatören Free SAS med 300 000 euro för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att CNIL tagit emot flera klagomål om svårigheter för enskilda att få sina önskemål om tillgång till och radering av personuppgifter behandlade av Free. CNIL:s utredning visade på flera överträdelser av förordningen.
Enligt CNIL har Free åsidosätt skyldigheten att respektera registrerades rätt att få tillgång till de uppgifter som rör dem enligt artiklarna 12 och 15 GDPR, eftersom företaget inte följde upp de registrerades begäran inom de fastställda tidsfristerna eller gav dem ett ofullständigt svar om var deras uppgifter kommer ifrån. Free har även underlåtit att respektera registrerades rätt till radering enligt artiklarna 12 och 21 GDPR, eftersom företaget inte behandlade de registrerades begäran i tid.
Vidare har Free inte garanterat säkerheten för personuppgifter enligt artikel 32 GDPR eftersom:
- Det lösenord som genererades när ett användarkonto skapades på företagets webbplats, under ett återställningsförfarande eller när lösenordet förnyades, inte var tillräckligt robust.
- Alla lösenord som genererades när ett användarkonto skapades på företagets webbplats lagrades i klartext i företagets abonnentdatabas.
- Företagets lösenord överfördes till användarna via e-post eller post i klartext när de skapade sina konton på webbplatsen, utan att dessa lösenord var tillfälliga och utan att företaget krävde att de skulle ändras.
- Företaget överförde lösenordet till e-postkontot free.fr via e-post eller post till användaren och angav det i klartext i meddelandet.
- Free inte förhindrat att cirka 4 100 Freebox-lådor som innehafts av tidigare abonnenter kunde tilldelas nya kunder utan att uppgifter om de tidigare abonnenterna, som exempelvis foton, personliga videor eller inspelningar av tv-program, som lagrats på boxarna raderats på ett korrekt sätt.
Slutligen ansåg CNIL att Free åsidosatt skyldigheten att dokumentera en personuppgiftsincident enligt artikel 33 GDPR, eftersom den upprättade dokumentationen inte gjorde det möjligt att notera alla åtgärder som vidtagits av företaget för att avhjälpa incidenten i samband med ompaketeringen av ovannämnda Freebox-lådor.
Mot bakgrund av ovanstående beslutade CNIL:s organ som ansvarar för att införa sanktionsavgifter om att bötfälla Free med 300 000 euro och att offentliggöra sitt beslut på myndighetens webbplats.
Vid påföljden beaktas överträdelsernas art och allvar, de kategorier av personuppgifter som berörs av överträdelserna samt företagets storlek och ekonomiska situation. Gällande publiceringen av myndighetens beslut ansåg CNIL att detta var motiverat för att påminna om hur viktigt det är att behandla begäran om rättigheter på ett korrekt sätt och att skydda användarnas uppgifter.
CNIL förelade även Free att följa bestämmelserna om att underlätta begäran om tillgång till personuppgifter och att visa upp detta för CNIL inom tre månader från den dag då beslutet meddelades, med en ytterligare straffavgift på 500 euro för varje dag efter detta datum.