Cnil az önce EDF’ye kişisel veriler ve ticari araştırma ile ilgili suçlardan 600.000 avro para cezası verdiğini duyurdu.
Çeşitli şikayetler üzerine el konulan kurum, “şirketin veri koruma genel düzenlemeleri (RGPD) ve posta ve elektronik iletişim kodu (CPCE) tarafından sağlanan çeşitli yükümlülükleri ihlal ettiğini değerlendirdi”.
Cnil’e göre para cezasının miktarı, “şirketin işbirliğini ve itham edildiği tüm ihlallere uyum sağlamak için prosedür sırasında aldığı tüm önlemleri dikkate alıyor” .
Ticari bir araştırma kampanyasının alıcılarının geçerli rızası sorunu
Özellikle, Fransa’nın önde gelen elektrik tedarikçisi, 2020 ile 2021 yılları arasında elektronik yollarla yürütülen bir ticari maden arama kampanyasının alıcılarından önceden geçerli onay aldığını kanıtlayamadı.
“Kontroller sırasında şirket, CNIL’e bir veri simsarı tarafından kendisine sunulan potansiyel müşterilerden veri toplamak için iki standart form örneği sağladı. Ancak, verileri alan ortakların listesini CNIL’e iletemedi, oysa böyle bir liste, onay verirken kişilerin kullanımına sunulmalıdır” diye belirtiyor Komisyon.
EDF ayrıca, web sitesinde kullanılan kişisel verilerin kullanımı hakkında insanları bilgilendirme yükümlülüğünü yerine getirmedi ve erişim haklarını kullanmak isteyen veya verilerinin kullanımına karşı çıkmak isteyen kişilere zamanında yanıt vermedi.
“Rıza toplama formlarında doğrulama yok”
Komisyon bu konuda “Şirket, kontrollerin yapıldığı tarihte kullanılan rıza toplama formları üzerinde herhangi bir kontrol yapmadığını ve veri simsarları üzerinde denetim yapmadığını kabul etmiştir” dedi. Son olarak, Cnil’in kısıtlı eğitimi, bilgisayar korsanlığı durumunda İnternet kullanıcıları için risklere neden olabilecek parolaların güvenliğini sağlamada bir başarısızlığı onayladı.
Bu duyuru, CNIL tarafından kamuoyuna duyurulan bir dizi yaptırımın parçasıdır. Geçtiğimiz Eylül ayında Infogreffe hizmeti, Cnil tarafından 250.000 avroluk bir yaptırımla onaylandı. Onun hatası mı? Saklama süresi ve kişisel verilerin güvenliği açısından GDPR’nin çeşitli yükümlülüklerini ihlal etmiş olmak.
CNIL ayrıca sağlık verileri ve GDPR konusunda ilerlemek istiyor. 16 Kasım’da Komisyon, tamamlayıcı sağlık sigortası kuruluşlarının poliçe sahiplerinin sağlık verilerini GDPR ve tıbbi sır ile uyumlu olarak toplayabilecekleri koşulları belirlemek için bir yasa çağrısında bulunduğunu duyurdu.