Amendă administrativă în valoare de 105 000 de euro aplicată de către Autoritatea Franceză pentru Protecția Datelor companiei NS CARDS FRANCE pentru încălcarea prevederilor legale stipulate în GDPR

Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda administrativă în valoare de 105 000 de euro aplicată de către Autoritatea Franceză pentru Protecția Datelor (CNIL) companiei NS CARDS FRANCE pentru încălcarea art. 5 Principii legate de prelucrarea datelor cu caracter personal, art. 12 Legalitatea prelucrării, art. 13 Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la subiectul de date, art. 32 Securitatea prelucrării din GDPR și art. 82 din Legea franceză privind protecția datelor.

NS CARDS FRANCE este o companie care editează site-ul neosurf.com și aplicația mobilă „Neosurf” care permite plata online după înregistrarea la acest serviciu. CNIL a efectuat două controale la această companie, constatând mai multe încălcări, cum ar fi :

• Nerespectarea obligației de a păstra datele pentru o perioadă limitată la scopul pentru care au fost colectate (articolul 5.1.e din GDPR);
• Nerespectarea obligației de a informa subiecții de date (articolele 12 și 13 din GDPR);
• Nerespectarea obligației de a asigura securitatea datelor cu caracter personal (articolul 32 din GDPR);
• Nerespectarea obligațiilor legate de utilizarea cookie-urilor și a tracker-ilor (articolul 82 din Legea franceză privind protecția datelor).

În rezultat, CNIL a aplicat două amenzi companiei NS CARDS FRANCE: o amendă pentru încălcările prevederilor legale stipulate în GDPR. Această amendă a fost impusă în cooperare cu 17 dintre omologii europeni ai CNIL, în cadrul Ghișeului Unic, deoarece site-ul web are vizitatori în mai multe state membre ale UE, precum și în Norvegia. La fel, a fost aplicată o amendă pentru o încălcare referitoare la utilizarea de module cookie și de tracking (încălcarea art. 82 din Legea franceză privind protecția datelor): în acest caz, CNIL este competentă să acționeze singură.

Pentru a stabili cuantumul amenzilor, CNIL a luat în considerare natura încălcărilor, neglijența de care a dat dovadă compania, categoriile de date cu caracter personal (inclusiv datele bancare), numărul de subiecți de date și situația financiară a companiei.

CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare.