Amendă administrativă în valoare de 240 000 de euro aplicată de către Autoritatea Franceză pentru Protecția Datelor companiei KASPR pentru încălcarea prevederilor legale stipulate în GDPR

Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda administrativă în valoare de 240 000 de euro aplicată de către Autoritatea Franceză pentru Protecția Datelor (CNIL) companiei KASPR pentru încălcarea articolului 5 Principii legate de prelucrarea datelor cu caracter personal, articolului 6 Legalitatea prelucrării, articolului 12 Transparența informațiilor,a comunicărilor și a modalităților de exercitare a drepturilor subiectului de date, articolului 14 Informații care se furnizează în cazul în care datele cu caracter personal nu au fost obținute de la subiectul de date și articolului 15 Dreptul de acces al subiectului de date.

KASPR comercializează o aplicație pentru browserul Chrome care permite clienților plătitori să obțină datele de contact profesionale ale persoanelor ale căror profiluri le vizitează pe rețeaua socială LinkedIn. Pentru a face acest lucru, compania creează o bază de date cu detalii de contact de pe LinkedIn și de pe alte site-uri web. Datele de contact astfel colectate permit, în general, clienților companiei să contacteze persoanele vizate, de exemplu pentru prospectare comercială, recrutare sau verificarea identității. Baza de date a KASPR conține aproximativ 160 de milioane de contacte.

CNIL, a primit numeroase plângeri de la persoane care au fost contactate de entități care le-au obținut datele de contact prin intermediul aplicației KASPR. 

În urma investigațiilor, CNIL a constatat mai multe încălcări ale GDPR-ului:

• Nerespectarea obligației de a avea un temei legal (articolul 6 din GDPR);

• Nerespectarea obligației de a defini și de a respecta o perioadă de păstrare a datelor proporțională cu scopul prelucrării (articolul 5-1-e din GDPR);

• Nerespectarea obligației de a asigura transparența și informarea persoanelor vizate (articolele 12 și 14 din GDPR).

În acest context, CNIL a aplicat companiei KASPR o amendă administrativă în valoare de 240 000 de euro și a dispus acesteia să înceteze colectarea datelor persoanelor care au ales să limiteze vizibilitatea datelor lor de contact și să șteargă datele colectate în acest mod; să întrerupă reînnoirea automată a stocării datelor cu caracter personal ale persoanelor vizate; să informeze persoanele ale căror date sunt colectate într-un limbaj accesibil și să răspundă cererilor de acces din partea persoanelor vizate, furnizând toate informațiile disponibile privind sursele de colectare a datelor. 

CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare.