Commission Nationale de l’Informatique et des Libertés (CNIL) har utfärdat en sanktionsavgift på 150 000 euro mot KG COM för överträdelser av dataskyddsförordningen (GDPR) och den franska dataskyddslagen.
Av beslutet framgår att KG COM driver flera webbplatser som erbjuder sina kunder konsultationer via ett chattgränssnitt eller per telefon. Efter publiceringen av en pressartikel 2020 som avslöjade förekomsten av en personuppgiftsincident som involverade företaget genomförde CNIL tre granskningar.
Under sina granskningar konstaterade CNIL ett antal överträdelser, särskilt när det gäller systematisk inspelning av telefonsamtal, insamling av hälsouppgifter och information om sexuell läggning, lagring av bankuppgifter utan den enskildes samtycke och skyldigheten att anmäla en personuppgiftsincident. CNIL konstaterade också överträdelser av reglerna om cookies.
Enligt CNIL spelade KG COM systematiskt in alla telefonsamtal mellan telefonoperatörer och potentiella kunder samt mellan rådgivare och kunder för att kontrollera tjänstens kvalitet, bevisa att avtalet hade ingåtts och för att kunna inleda rättsliga förfaranden. Även om KG COM nu har upphört att tillhandahålla rådgivning per telefon, och därför har upphört att spela in telefonsamtal, har det inte lämnat någon motivering till behovet av att systematiskt spela in alla samtal för dessa ändamål.
CNIL:s granskning visare också att KG COM behåller sina kunders bankuppgifter utöver den tid som är absolut nödvändig för att slutföra transaktionen, i syfte att bekämpa bedrägerier och underlätta för kunderna att köpa nya konsultationssamtal. Även om den rättsliga grunden för att behålla bankuppgifter i syfte att bekämpa bedrägerier är berättigat intresse, gäller detta inte för bevarande med tanke på efterföljande köp, för vilka företaget bör ha erhållit individens samtycke.
Under konsultationerna hade kunderna möjlighet att lämna uppgifter om sitt hälsotillstånd och sin sexuella läggning, vilka registreras av KG COM. Enligt CNIL bör KG COM bör i förväg ha inhämtat kundernas uttryckliga samtycke till behandlingen av deras känsliga uppgifter. Enbart viljan att ta emot konsultationer och att frivilligt lämna ut känslig information kan inte anses utgöra ett uttryckligt samtycke. KG COM borde också ha tillhandahållit specifik information om insamlingen av deras känsliga uppgifter.
Därutöver skapade KG COM enligt CNIL inte tillräckligt starka lösenord för användarkonton och säkrade inte åtkomsten till webbplatsen www.voyance-en-direct.tv genom att använda HTTP istället för HTTPS, vilket utsatte data för risken för dataattacker eller dataläckage. KG COM använde också en krypteringsmekanism för bankdata som var sårbar.
Gällande personuppgiftsincidenten så anmälde KG COM inte händelsen till CNIL. KG COM ansåg att företaget inte kunde identifiera överträdelsen eftersom dess server hade stängts av och dess underleverantör inte behållit serveranslutningsloggarna. KG COM kunde dock identifiera personuppgiftsincidenten genom att jämföra det urval av uppgifter som journalisten tillhandahållit med sin databas. Som personuppgiftsansvarig var KG COM skyldigt att anmäla personuppgiftsincidenten även om det orsakats av ett fel från personuppgiftsbiträdets sida.
CNIL konstaterade därutöver att det saknats information om cookies och att tre cookies placerats på användarens terminal utan dennes samtycke och så snart användaren kom in på webbplatsen. KG COM installerade därefter en cookie-banner, men denna gjorde det inte lika lätt för användaren att neka till att cookies placerades som att acceptera dem.
Till följd av detta utdömde CNIL sanktionsavgifter på 120 000 euro för överträdelser av dataskyddsförordningen (artiklarna 5.1 (c), 6.1 (a), 9.2 (a), 12, 13, 28.5, 32 och 33 GDPR) och 30 000 euro för överträdelser i samband med användningen av cookies (artikel 82 i den franska dataskyddslagen). Sanktionsavgifterna gällande dataskyddsförordningen utdömdes i samarbete dataskyddsmyndigheterna i Belgien, Luxemburg, Italien, Spanien, Portugal, Bulgarien och Berlin, eftersom KG COM har kunder och potentiella kunder i flera av EU:s medlemsstater.
Vid fastställandet av sanktionsbeloppet tog CNIL hänsyn till det särskilt stora antalet överträdelser av dataskyddsreglerna, de aktuella personuppgifternas känslighet (hälsouppgifter, information om sexuell läggning) och antalet berörda personer.
CNIL tog också hänsyn till företagets ekonomiska situation, som uppvisade ett negativt nettoresultat 2020 efter en betydande minskning av försäljningen under de senaste åren, och tog hänsyn till företagets struktur, som endast sysselsätter ett fåtal personer, för att fastställa ett avskräckande men proportionerligt sanktionsbelopp.