Amendă record pentru nerespectarea obligatiei de retentie a datelor personale
Autoritatea finlandeză pentru protecția datelor (APD) a impus cea mai mare amendă din istoria țării, în conformitate cu Regulamentul general privind protecția datelor (GDPR), retailerului online Verkkokauppa.com.
Amenda, anunțată la data de 18 martie 2024, vizează încălcări majore ale politicilor de retenție a datelor și ale procedurilor de creare a conturilor.
Contextul cazului
Ancheta APD finlandeză a arătat că Verkkokauppa.com nu a reușit să definească o perioadă de stocare clară pentru datele cu caracter personal ale clienților, o obligație fundamentală în temeiul GDPR.
Autoritatea finlandeză de supraveghere (AS) a investigat activitățile retailerului online Verkkokauppa.com ca urmare a unei plângeri depuse de un client.
Operatorul îi solicitase persoanei vizate să se înregistreze în calitate de client înainte de a face cumpărături online. Cumpărăturile în magazinul online nu erau posibile fără crearea unui cont de client.
Această neglijență a dus la retenția pe o perioadă nedeterminată a datelor cu caracter personal, ceea ce reprezintă o încălcare directă a principiilor GDPR care impun minimizarea datelor și limitarea stocării.
În plus, s-a constatat că politica de înregistrare a contului retailerului nu era conformă cu standardele GDPR, ceea ce a agravat și mai mult încălcările.
Ombudsmanul finlandez pentru protecția datelor a impus o amendă record de 856.000 de euro companiei Verkkokauppa.com pentru două abateri fundamentale din cadrul GDPR:
-
Erori privind politica de retenție a datelor:
Verkkokauppa.com nu a stabilit sau comunicat un termen specific pentru cât timp vor fi stocate datele clienților.
Această lipsă de claritate și păstrarea nedeterminată a datelor este contrară articolului 5 alineatul (1) litera (e) din RGPD, care prevede că datele cu caracter personal trebuie păstrate într-o formă care să permită identificarea persoanelor vizate pentru o perioadă de timp nu mai lungă decât cea necesară pentru scopurile pentru care sunt prelucrate datele cu caracter personal.
Compania a argumentat prin faptul că respectivii clienți puteau solicita închiderea conturilor și ștergerea datelor lor, dar APD a considerat această practică insuficientă și neconformă cu cerințele GDPR.
-
Politica de creare a conturilor neconformă: Procesul de înregistrare a contului retailerului cerea clienților să creeze un cont pentru a face achiziții online, ceea ce APD a considerat că încalcă principiile GDPR.
Crearea unui cont de client sau stocarea datelor cu caracter personal care rezultă din această practică nu poate constitui o condiție obligatorie pentru a face achiziții individuale online. Această practică a fost considerată nejustificată și o încălcare a normelor privind protecția datelor.
Alte detalii despre caz
-
Retenția pe o perioadă nedeterminată a datelor:
APD a constatat că Verkkokauppa.com a stocat datele din conturile clienților pentru o perioadă nedeterminată, ceea ce nu a putut fi justificat prin argumentul companiei conform căruia clienții ar putea solicita ulterior ștergerea datelor. APD a subliniat faptul că un mecanism de ștergere a datelor utilizatorilor pasivi nu scutește compania de obligația de a defini perioadele de păstrare a datelor în conformitate cu normele de protecție a datelor.
-
Amenda aplicată în funcție de cifra de afaceri:
Valoarea amenzii a fost influențată de cifra de afaceri anuală a companiei, care a fost de 540 de milioane de euro pentru anul 2022.
-
Calea de atac:
Verkkokauppa.com a anunțat că intenționează să conteste decizia la Curtea Administrativă din Finlanda.
Cum a răspuns operatorul
Verkkokauppa.com a răspuns la amenda impusă de Ombudsmanul finlandez pentru protecția datelor prin anunțarea intenției sale de a contesta decizia.
Compania a susținut că practicile sale au fost parțial justificate de natura produselor pe care le vinde, care au adesea o durată de viață semnificativă, ceea ce sugerează că păstrarea datelor ar putea fi utilă pentru gestionarea reclamațiilor clienților și a altor probleme ulterioare achiziției.
De asemenea, Verkkokauppa.com a declarat că a definit perioada de retenție a datelor astfel încât să corespundă cu durata relației cu clienții și că aceștia pot pune capăt relației lor și pot solicita ștergerea datelor în orice moment.
În plus, compania a menționat că a luat măsuri pentru a șterge datele clienților inactivi care nu s-au conectat la conturile lor timp de șase ani.
Verkkokauppa.com a luat mai multe măsuri pentru a remedia încălcările GDPR identificate de Ombudsmanul finlandez pentru protecția datelor.
Printre aceste măsuri se numără:
-
Ștergerea datelor clienților inactivi
Verkkokauppa.com a inițiat ștergerea datelor pentru clienții inactivi care nu s-au conectat la conturile lor timp de șase ani. Această măsură are ca scop reducerea cantității de date cu caracter personal stocate pe termen nedefinit și alinierea la cerințele GDPR privind minimizarea și limitarea stocării datelor.
-
Definirea perioadelor de retenție a datelor
Compania a declarat că a stabilit deja că datele de bază esențiale ale clienților vor fi păstrate pe durata relației cu aceștia, pe baza naturii activității și a duratei de viață semnificative a produselor vândute. Aceasta include datele privind istoricul achizițiilor mai vechi de zece ani, care au fost, de asemenea, vizate pentru ștergere.
-
Eliminarea obligativității înregistrării contului
Verkkokauppa.com a fost obligat să își rectifice practica de a solicita crearea obligatorie a unui cont de client pentru achizițiile online. Se așteaptă ca societatea să implementeze modificări pentru a permite clienților să facă achiziții fără a fi nevoie să creeze un cont, reducând astfel colectarea și stocarea inutilă a datelor.
-
Contestarea deciziei
Verkkokauppa.com și-a anunțat intenția de a face apel la Curtea Administrativă a Finlandei.
Compania consideră că amenda administrativă este nefondată și încearcă să conteste interpretarea Ombudsmanului pentru protecția datelor personale.
-
Măsuri de conformare și ajustări ale politicii
Compania și-a revizuit și ajustat politicile de protecție a datelor, pentru a asigura conformitatea cu cerințele GDPR. Aceasta include precizarea unor perioade adecvate de retenție a datelor și asigurarea faptului că practicile de prelucrare a datelor sunt transparente și justificate.
Aceste măsuri ar putea demonstra eforturile Verkkokauppa.com de a remedia neconformitățile GDPR identificate și de a-și adapta practicile de prelucrare a datelor la cerințele de reglementare.
Implicațiile amenzii
Această decizie subliniază angajamentul APD din Finlanda de a aplica reglementările GDPR și de a proteja confidențialitatea datelor consumatorilor.
Amenda record de 856.000 de euro servește drept un avertisment ferm pentru alte companii care își desfășoară activitatea în Finlanda și în întreaga Uniune Europeană cu privire la importanța respectării cerințelor GDPR.
Companiilor li se reamintește să își revizuiască și să își actualizeze periodic politicile de protecție a datelor, asigurându-se că definesc perioade clare de păstrare a datelor și că mențin procese conforme de înregistrare a conturilor.
Recomandări pentru asigurarea conformității cu Regulamentul GDPR
Cauza Verkkokauppa.com, care a primit o amendă record pentru încălcări ale GDPR, oferă lecții utile pentru alte companii care urmăresc să asigure conformitatea cu GDPR.
Iată câteva recomandări esențiale pe baza acestor încălcări și a celor mai bune practici:
-
Definiți perioade clare de retenție a datelor personale
-
Recomandare: Stabiliți și comunicați perioade specifice de stocare a datelor pentru toate categoriile de date cu caracter personal. Acest lucru implică:
-
O evaluare internă: Efectuați o evaluare internă pentru a determina perioadele de stocare adecvate pe baza scopului prelucrării datelor și a obligațiilor legale.
-
Elaborarea unei documentații: Stabiliți în mod clar aceste perioade de retenție în politica dumneavoastră de retenție a datelor și asigurați-vă că sunt incluse inclusiv în politica dumneavoastră de confidențialitate.
-
Revizuirea periodică: Revizuiți și actualizați periodic perioadele de retenție pentru a vă asigura că acestea rămân relevante și conforme cu reglementările în vigoare.
-
Evitați păstrarea pe termen nelimitat a volumului de date
-
Recomandare: Nu păstrați datele cu caracter personal pe termen nelimitat. Implementați mecanisme de ștergere sau anonimizare a datelor care nu mai sunt necesare.
-
Ștergerea automată: Folosiți sisteme automate pentru a șterge informațiile după o perioadă prestabilită.
-
Minimizarea datelor: Asigurați-vă că datele sunt păstrate doar pentru cea mai scurtă perioadă de timp necesară pentru îndeplinirea scopului lor.
-
Consimțământul transparent și informat
-
Recomandare: Obțineți un consimțământ clar, informat și lipsit de ambiguitate din partea persoanelor vizate pentru activitățile de prelucrare a datelor.
-
Comunicare clară: Furnizați informații detaliate despre activitățile de prelucrare a datelor, inclusiv scopul, temeiul juridic și perioadele de păstrare a datelor, într-un limbaj simplu.
-
Mecanisme de consimțământ: Utilizați mecanisme de consimțământ explicit, cum ar fi căsuțele de bifat care să nu fie prebifate, și asigurați-vă că consimțământul poate fi retras cu ușurință.
-
Practici conforme de creare a conturilor
-
Recomandare: Evitați să impuneți obligativitatea creării unui cont pentru servicii în cazul în care aceasta nu este necesară.
-
Conturi opționale: Permiteți utilizatorilor să facă achiziții sau să acceseze servicii fără a le cere să creeze un cont, cu excepția cazului în care acesta este esențial pentru serviciul furnizat.
-
Justificarea colectării datelor: Justificați necesitatea colectării de date cu caracter personal pentru crearea contului și asigurați-vă că aceasta se aliniază cu principiile GDPR de minimizare a datelor și de limitare a scopului.
-
Auditări periodice de conformitate și cursuri de informare
-
Recomandare: Efectuați audituri periodice și oferiți formare continuă pentru a asigura conformitatea cu GDPR.
-
Audituri GDPR: Efectuați audituri periodice de conformitate cu GDPR pentru a identifica și corecta eventualele probleme.
-
Instruirea angajaților: Instruiți angajații cu privire la cerințele GDPR și la importanța protecției datelor pentru a promova o cultură a conformității.
-
Mențineți un registru de prelucrare GDPR
-
Recomandare: Păstrați un registru actualizat al tuturor activităților de prelucrare a datelor.
-
Registrul de prelucrare: Mențineți un registru de prelucrare GDPR detaliat care să includă informații despre categoriile de date, scopurile prelucrării, bazele legale, destinatarii datelor și perioadele de păstrare.
-
Transparență: Asigurați-vă că acest registru este ușor accesibil pentru a fi inspectat de autoritățile de reglementare și că reflectă practicile actuale de prelucrare a datelor.
-
Implementați măsuri stricte de securizare a datelor
-
Recomandare: Protejați datele cu caracter personal cu ajutorul unor măsuri tehnice și organizaționale adecvate.
-
Securitatea datelor: Implementați criptarea, controalele de nivel de acces și evaluările periodice ale nivelului de securitate pentru a proteja datele cu caracter personal.
-
Notificarea încălcărilor: Stabiliți proceduri pentru raportarea promptă a încălcărilor de date către autoritățile de supraveghere și persoanele afectate, în termenele legale.
Urmând aceste recomandări, companiile își pot îmbunătăți conformitatea cu GDPR, pot asigura protecția datelor cu caracter personal și vor putea evita amenzile substanțiale și daunele reputaționale.
Concluzie
Aplicarea celei mai mari amenzi GDPR din Finlanda de până acum evidențiază importanța majoră a protecției datelor și a respectării reglementărilor stabilite.
Pe măsură ce preocupările legate de confidențialitatea datelor continuă să crească, organismele de reglementare, cum ar fi APD din Finlanda, sunt din ce în ce mai vigilente în acțiunile lor de aplicare a legii.
Acest caz servește drept un memento crucial pentru companii de a acorda prioritate protecției datelor și de a se asigura că practicile lor se aliniază la standardele GDPR pentru a evita sancțiuni semnificative.
Antonia Stefan
Consultant in protectia datelor