Discord z karą za naruszenie ochrony danych
CNIL nałożył karę pieniężną w wysokości 800 tys. euro na popularną platformę Discord. Kara jest wynikiem naruszeń m.in. w zakresie bezpieczeństwa danych osobowych użytkowników platformy.
Kontrola dotyczyła usług na platformie Discord
CNIL czy francuski organ nadzorczy przeprowadził kontrolę na platformie Discord – zarówno na stronie WWW jak i w ramach aplikacji mobilnej. Usługa oferowana przez Discord Inc. (z siedzibą w USA) to tzw. Voice over IP czyli technologia umożliwiająca użytkownikom komunikację w ramach czatu za pomocą mikrofonu lub kamery internetowej. Poza tym na platformie tworzone są serwery, pokoje tekstowe, głosowe oraz wideo.
Zbyt długie przechowywanie danych z kont użytkowników
W toku postępowania kontrolnego francuski organ nadzorczy stwierdził naruszenia ochrony danych. Przede wszystkim doszło do nieprawidłowości w zakresie przechowywania danych. Firma nie przyjęła polityki retencji, przez co przechowywała dane osobowe dłużej niż było to konieczne do realizacji celów przetwarzania. Chodzi tu o dane osobowe na kontach, które nie były używane od kilku lat. Właściwa polityka retencji została przyjęta dopiero w toku postępowania.
Organ nadzorczy może zwrócić uwagę na brak właściwej polityki retencji, choć nie jest to dokument wprost wymagany przez RODO.
Braki w obowiązku informacyjnym
Poza tym firma Discord nie spełniała kompleksowo obowiązku informacyjnego wobec użytkowników. Nie informowała bowiem o okresach przechowywania danych ani o kryteriach ustalania tych okresów. Także ten brak został uzupełniony w toku postępowania.
Discord nie przestrzegała zasady privacy by default
CNIL stwierdził również, że amerykańska firma nie zapewniała domyślnej ochrony danych (zasada privacy by default). Otóż gdy użytkownik platformy zalogowany do pokoju głosowego zamykał okno aplikacji (klikając w tym celu ikonę „X” w prawym górnym rogu okna), to aplikacja nie była zamykana, lecz jedynie minimalizowana. W efekcie użytkownik pozostawał zalogowany w pokoju głosowym i mógł być nieświadomy, że nadal jest słyszany. Platforma w żaden sposób nie informowała o tym użytkownika np. w okienku pop-up.
Niewłaściwe zarządzanie hasłami
Nieprawidłowości dotyczyły również polityki haseł. W toku kontroli ustalono, że konta użytkowników były zabezpieczone jedynie 6-znakowymi hasłami. Uznano to za niewystarczający środek bezpieczeństwa.
Przeczytaj także: Polityka haseł – co w niej zawrzeć
Ostatnim ze stwierdzonym naruszeń było nieprzeprowadzenie DPIA. W ocenie CNIL ocena skutków przetwarzania była konieczna z uwagi na dużą ilość danych przetwarzanych przez administratora i korzystanie z jej usług przez nieletnich.
-
www.cnil.fr/en/discord-inc-fined-800-000-euros
- Pracownik w delegacji – jak wygląda przekazywanie jego danych osobowych do państwa trzeciego
- Mechanizmy dochodzenia roszczeń w związku z wdrożeniem ram ochrony danych UE - USA
- Upoważnienie do przetwarzania danych osobowych czy oświadczenie o poufności
- TSUE: Identyfikator personalizacji reklam zaliczany do danych osobowych według RODO
- Kara za przetwarzanie danych osobowych w rozmowach telefonicznych bez podstawy prawnej
- Zgoda marketingowa – czy także od firmy lub instytucji
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
