Amendă administrativă în valoare de 80 000 de euro aplicată de către Autoritatea Franceză pentru Protecția Datelor companiei CALOGA pentru încălcarea articolelor 5, 6 și 7 din GDPR

Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda administrativă în valoare de 80 000 de euro aplicată de către Autoritatea Franceză pentru Protecția Datelor (CNIL) companiei CALOGA pentru încălcarea articolului 5 (Principiile legate de prelucrarea datelor cu caracter personal), articolului 6 (Legalitatea prelucrării) și articolului 7 (Condiții privind consimțământul) din GDPR.

În cadrul tematicii sale prioritare privind controlul prospectării comerciale în 2022, CNIL s-a concentrat asupra practicilor profesioniștilor din acest ecosistem, în special asupra intermediarilor care revând date, numiți brokeri de date. Astfel, CNIL a efectuat investigații asupra CALOGA, care a obținut date de prospectare în principal de la alți brokeri de date, editori de concursuri de jocuri și site-uri de testare a produselor. CALOGA a utilizat aceste date pentru a efectua prospectare comercială prin e-mail către potențiali clienți în numele clienților săi agenți de publicitate. De asemenea, putea transmite o parte din aceste date clienților săi, astfel încât aceștia să poată efectua ei înșiși prospectare electronică.

În urma investigațiilor CNIL a constatat mai multe încălcări, cum ar fi :

• Nerespectarea obligației de a obține consimțământul persoanelor fizice pentru a primi oferte comerciale prin mijloace electronice (articolul L.34-5 din Codul poștal și al comunicațiilor electronice din Franța): aspectul înșelător al formularelor utilizate de brokerii de date a făcut imposibilă obținerea unui consimțământ liber și neechivoc, în conformitate cu cerințele GDPR, care ar fi constituit baza operațiunilor de prospectare efectuate de companie;

• Nerespectarea obligației de a accepta retragerea consimțământului (articolul L. 34-5 din CPCE, astfel cum se menționează la articolul 7 din GDPR): în cadrul sistemului implementat de CALOGA, potențialii clienți nu aveau posibilitatea de a se dezabona cu un singur clic din diversele baze de date CALOGA în care erau înregistrați. Prin urmare, potențialilor clienți nu le era la fel de ușor să își retragă consimțământul pe cât le era să îl acorde;

• Nerespectarea obligației de a avea un temei juridic pentru prelucrarea datelor (articolul 6 din GDPR): în cadrul activității sale de broker de date, compania a transmis baze de date și altor parteneri, care au trimis prospecțiuni comerciale prin e-mail pentru clienții lor agenți de publicitate;

• Nerespectarea obligației de a defini și respecta o perioadă de păstrare a datelor proporțională cu scopul prelucrării (articolul 5-1-e din GDPR): de fiecare dată când un potențial client deschidea un e-mail de la companie – chiar și din greșeală – compania prelungea stocarea datelor acestui potențial client în bazele sale de date, potențial fără limitare.

În acest context, CNIL a impus o amendă administrativă în valoare de 80 000 de euro, care a fost făcută publică. Cuantumul amenzii a fost stabilit ținând cont  de numărul mare de persoane implicate, de poziția istorică a companiei pe piață, de beneficiul financiar obținut din încălcări și de încetarea completă a activității companiei în 2024.

CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare