Kara za naruszenia RODO w aplikacji do płatności elektronicznych
CNIL nałożył administracyjną karę pieniężną w kwocie 105 tys. euro za naruszenia RODO i przepisów krajowych na firmę prowadzącą aplikację Neosurf, służącą do płatności elektronicznych. Dotyczyły one m.in. okresów przechowywania danych osobowych i stosowania plików cookies. Przedstawiamy motywy decyzji francuskiego organu nadzorczego.
Nieprawidłowości w przetwarzaniu danych osobowych na stronie i w aplikacji do płatności elektronicznych
Firma NS CARDS FRANCE jest twórcą aplikacji Neosurf, a także strony internetowej neosurf.com. Służą one do dokonywania płatności elektronicznej. W 2021 r. w spółce zostały przeprowadzone kontrole, w trakcie których stwierdzono liczne naruszenia RODO i krajowych przepisów o ochronie danych osobowych.
Brak ograniczenia okresu przechowywania danych osobowych
Przede wszystkim zarzucono stosowanie niewłaściwego okresu przechowywania danych osobowych. Jak się okazało, konta użytkowników aplikacji lub strony internetowej były aktywne przez 10 lat. Po tym okresie konta wygasały, ale dane osobowe użytkowników nadal były przechowywane. De facto dane osobowe użytkowników Neosurf były więc przechowywane bezterminowo, co oczywiście stanowiło naruszenie art. 5 ust. 1 lit. e RODO.
Klauzula informacyjna RODO w niewłaściwym języku
Nieprawidłowości dotyczyły także realizacji obowiązku informacyjnego RODO. Administrator wprawdzie udostępnił politykę prywatności zarówno na stronie internetowej jak i w aplikacji Neosurf. Niemniej jednak w ocenie francuskiego organu nadzorczego była ona nieaktualna i niekompletna. Zarzucono także, że zredagowano ją w języku angielskim, podczas gdy większość użytkowników była francuskojęzyczna.
Klauzula informacyjna RODO powinna być sporządzona, a w razie czego przetłumaczona na język zrozumiały dla odbiorców np. użytkowników aplikacji.
Hasła dostępu do aplikacji do płatności elektronicznych nie były wystarczająco złożone
Kolejne naruszenie dotyczyło stosowanych środków bezpieczeństwa danych osobowych. Dotyczyły one polityki haseł. W ocenie CNIL przyjęty przez administratora stopień złożoności haseł dostępu do strony WWW i aplikacji Neosurf był niewystarczający. Używano też przestarzałej funkcji skrótu SHA-1. Co więcej, w bazie danych przechowywano prawie 50 tys. haseł w postaci zwykłego tekstu i powiązanych z adresem e-mail i identyfikatorami użytkowników. Taki sposób przechowywania haseł generował duże ryzyko ich wycieku.
Nieprawidłowości w stosowaniu plików cookies
Wreszcie stwierdzone zostały nieprawidłowości dotyczące stosowania przez administratora plików cookies. Firma wykorzystywała pliki cookies Google Analytics na urządzeniu końcowym użytkownika bez jego zgody, co było niezgodne z przepisami krajowymi. Poza tym przy zakładaniu konta oraz podczas łączenia się z serwisem i aplikacją, firma korzystała z mechanizmu reCAPTCHA. Stosowanie tego mechanizmu powodowało gromadzenie danych i przekazywanie ich do Google, o czym użytkownicy nie byli informowali i tym bardziej nie wyrażali na nie zgody.
- Informacja publiczna na wniosek dziennikarza – czy podlega anonimizacji
- Pozyskanie zaświadczenia o niekaralności z Krajowego Rejestru Karnego może skutkować naruszeniem RODO
- Santander Bank Polska z wysoką karą UODO za niezgłoszenie naruszenia ochrony danych
- Linie lotnicze nie informują o usunięciu danych osobowych
- Co po kontroli RODO – jak przebiega postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych
- Anonimizacja danych osobowych w fakturach i umowach zawieranych przez spółdzielnię mieszkaniową
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
