Ücretsiz, CNIL’in gözünde tekrarlanan bir suçludur. Geçen Ocak ayında mobil telefon faaliyeti (Ücretsiz Mobil) nedeniyle 300.000 avro para cezasına çarptırılan telekom operatörü, bu sefer telefon pazarında sabit (Ücretsiz) faaliyet gösteren kuruluşu için benzer bir para cezasına çarptırıldı.
bedava unutma
Denetim makamı tarafından not edilen kişisel verilerin korunmasına ilişkin Avrupa Tüzüğü (GDPR) ihlallerinin niteliği, yılın başında not edilenlere oldukça benzer olduğundan, ilk uyarı yeterli görünmemektedir. CNIL ilk olarak, kişisel verilerine erişim ve silme haklarının tanınmasında zorluk yaşayan müşterilerden birkaç şikayet aldı.
GDPR’nin 12. ve 15. Maddelerinin aksine Free, özel bilgilerine erişim talep eden kullanıcılara yanıt vermedi veya onlara eksik bir yanıt verdi.
Silme hakkına saygı gösterme yükümlülüğü, bu sefer GDPR’nin 17. maddesiyle ilgilidir. “Unutulma hakkı” olarak da bilinen bu hak, talepte bulunan kişilere – meşru olması kaydıyla – verilerinin veri sorumlusunun tüm sistemlerinden kalıcı olarak silineceğini garanti eder. Ve bu, maksimum 30 günlük bir süre içinde.
Yeterince güvenli olmayan parolalar
Gözlemlenen diğer eksiklikler, kişisel verilerin güvenliği ile ilgili oldukları için daha da hassastır. CNIL, kontrolleri sırasında “şirketin web sitesinde bir kullanıcı hesabı oluştururken, bir kurtarma prosedürü sırasında veya parolayı yenilerken oluşturulan parolanın yeterince sağlam olmadığını” gözlemledi.
Operatörün sitesinde bir hesap oluştururken, şifreler abonelere “düz metin olarak” e-posta veya posta yoluyla gönderildi, bu şifreler geçici ve Ücretsiz dayatma olmadan değiştirildi. E-posta hesabıyla ilişkili parola ücretsiz.fr aynı şekilde iletildi.
Bilgi sistemindeki şifreleri barındırma koşulları da eşit değildi. CNIL, “Şirketin web sitesinde bir kullanıcı hesabı oluştururken oluşturulan tüm şifreler, şirketin abone veritabanında düz metin olarak saklandı” diyor.
İlyada cirosunun %0,004’ü
Donanım tarafında uyanıklık daha iyi değildi. Yaklaşık 4.100 yenilenmiş Freebox kutusu, önceki abonelerin verileri düzgün bir şekilde silinmeden yeni müşterilere yeniden tahsis edildi. Dolayısıyla kutular fotoğraflar ve kişisel videolar ya da televizyon programlarının kayıtlarını içeriyordu.
Free’nin artık erişim hakkını uygulamak için üç ayı var. Aksi takdirde şirket, geciktiği gün başına 500 Euro cezaya tabi olacaktır. Diğer eksikliklerle ilgili olarak komisyon, operatörün prosedür sırasında uyum sağlamak için gerekli düzeltici önlemleri aldığına karar verdi.
Açıklanan yaptırım tutarının, Free’nin ana şirketi olan Iliad grubunun konsolide cirosunun yalnızca %0,004’üne tekabül ettiğini belirtmek gerekir. 2021’de bu, yıllık %29’dan fazla artışla 7,587 milyar avroya ulaştı. Kayıtlara geçsin, CNIL en ciddi ihlaller için 20 milyon avroya veya dünya çapındaki yıllık cironun %4’üne kadar idari para cezası verme seçeneğine sahiptir.
Operatörler ve hassas veriler
Faaliyetleri göz önüne alındığında, bir telekom operatörünün büyük miktarda hassas veriyi işlemesi isteniyor ve Xavier Niel tarafından kurulan Iliad grubu, CNIL tarafından sıkıştırılan tek grup değil. Dört yıl önce, Aralık 2018’de veri koruma polisi, operatör Bouygues Télécom’a “müşteri verilerinin güvenliğini ihlal ettiği” gerekçesiyle 250.000 Euro para cezası verdi.
Bir güvenlik açığı, operatörün düşük maliyetli teklifi olan B&You müşterilerinin sözleşmelerine ve faturalarına “Bouygues Telecom web sitesindeki bir URL adresini değiştirerek” erişmeyi mümkün kıldı. Böylece iki milyondan fazla abonenin verilerine “iki yıldan fazla bir süredir” çevrimiçi olarak erişilebilir. O zamanlar – rapor, GDPR’nin yürürlüğe girmesinden önceydi – bir Fransız şirketi için rekor miktarda bir para cezasıydı.