Amendă în valoare de 75 000 de euro aplicată de către Autoritatea Franceză pentru Protecția Datelor companiei Tagadamedia pentru încălcarea articolului 6 și 30 din GDPR
Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda în valoare de 75 000 de euro aplicată de către Autoritatea Franceză pentru Protecția Datelor (CNIL) companiei Tagadamedia pentru încălcarea articolului 6 și 30 din GDPR.
Tagadamedia este o companie care colectează date de la potențiali clienți prin intermediul formularelor pe care le oferă pe site-urile sale pentru a participa la concursuri sau la testarea produselor. Aceste date sunt apoi trimise partenerilor companiei pentru prospectare comercială. Deși compania pretinde că colectează de la subiecții de date consimțământul pentru prelucrarea datelor, formularele utilizate nu permit colectarea consimțământului în conformitate cu cerințele GDPR.
În timpul investigațiilor, Tagadamedia a prezentat Autorității Franceze pentru Protecția Datelor două exemple de formulare pentru colectarea datelor de la potențialii clienți. Cu toate acestea, prezentarea acestor formulare nu a permis obținerea unui consimțământ liber, informat și neechivoc. De fapt, evidențierea butonului care permitea utilizatorilor să își dea consimțământul, în contrast cu cea a butonului care permitea utilizatorilor să nu își dea consimțământul, sau textul incomplet și dimensiunea redusă, încurajau puternic utilizatorii să accepte transmiterea datelor lor către parteneri.
În urma investigațiilor, CNIL a constatat două încălcări ale GDPR-ului:
- Nerespectarea obligației de a avea un temei legal pentru prelucrarea datelor (articolul 6 din GDPR).
- Nerespectarea obligației de a pune în aplicare o evidență a activităților de prelucrare (articolul 30 din GDPR).
În acest context, CNIL a impus o amendă de 75 000 de euro companiei Tagadamedia, care a fost făcută publică. Totodată, a dispus companiei să implementeze un formular de colectare a datelor care să respecte cerințele GDPR în termen de o lună, sub sancțiunea unei amenzi de 1 000 de euro pentru fiecare zi de întârziere. Cuantumul acestei amenzi, care reprezintă aproximativ 1,6% din cifra de afaceri a companiei, a fost decis în funcție de încălcările identificate, de cooperarea și de măsurile pe care aceasta le-a luat în timpul procedurii pentru a remedia unele dintre încălcările de care a fost acuzată.
CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare.