Commission Nationale de l’Informatique et des Libertés (CNIL) har utfärdat en sanktionsavgift på 100 000 euro De Particulier A Particulier-Editions Neressis (PAP) för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att PAP förser privatpersoner med tjänster som gör det möjligt för dem att genomföra fastighetstransaktioner utan mellanhänder. CNIL har gjort en granskning av PAP:s webbplats, www.pap.fr, för att kontrollera metoderna för att informera användare om deras rättigheter i egenskap av registrerade, och om förfarandet för att skapa ett användarkonto var tillräckligt säkert och konfidentiellt.
CNIL gjorde även en granskning på plats där myndigheten fokuserade på att verifiera de lagringsperioder som PAP tillämpar på användarkontouppgifter, lagligheten i gällande personuppgiftsbiträdesavtal och de tekniska och organisatoriska åtgärderna som företaget vidtagit för att säkerställa säkerheten för de uppgifter som samlas in via webbplatsen.
Under sina granskningar konstaterade CNIL att PAP fastställt en systematisk lagringstid på tio år från det att en beställning godkänts på webbplatsen. CNIL konstaterade också att PAP inte inkluderade rätten att lämna in ett klagomål till CNIL, den rättsliga grunden för varje behandling samt mottagare och kategorier av mottagare i sin integritetspolicy. CNIL inledde därför ett sanktionsförfarande mot PAP.
Inledningsvis ansåg CNIL att en lagringsperiod på tio år från dagen för godkännande av beställningen var motiverad av dess rättsliga skyldigheter enligt fransk lag för avtal värda mer än 120 euro. CNIL ansåg dock att för avtal som var värda mindre än 120 euro var lagringsperioden på tio år överdriven och stred mot principen om lagringsminimering enligt artikel 5.1 (e) GDPR.
Vidare ansåg CNIL att PAP brutit mot artikel 13 GDPR genom att inte inkludera rätten att lämna in ett klagomål till CNIL, tillsammans med felaktig information om lagringstiden, i integritetspolicyn. CNIL noterade att denna information hjälper användarna att kontrollera behandlingen av deras uppgifter och därigenom säkerställer en rättvis och transparent behandling.
CNIL ansåg också att PAP brutit mot artikel 28.3 GDPR när denne försökt att retroaktivt ändra ett av sina personuppgiftsbiträdesavtal för att inkludera alla krav i denna artikel. CNIL ansåg att ändringens retroaktiva karaktär inte kan täcka överträdelsen för det förflutna.
Slutligen ansåg CNIL att PAP på flera sätt brutit mot artikel 32 GDPR, bland annan genom att användarna inte var skyldiga att ange starka lösenord när de skapade ett konto, samt att kontona inte låstes efter ett visst antal misslyckade åtkomstförsök. Vidare hade PAP underlåtit att mellanarkivera inaktiva kunduppgifter och inaktiva användarkontouppgifter. CNIL ansåg att blandningen av inaktiva uppgifter i en aktiv databas, som PAP förklarade var till för dagliga bedrägerikontroller, inte garanterade tillräcklig datasäkerhet.