English
 
查看详细details
您当前所在位置:首页 奥航智讯 GDPR 查看详细
行业最新动态 会员企业动态 GDPR
法国国家信息自由委员会对跨境电商Spartoo开出25万欧元罚单
文章来源:奥航智讯  作者:SCA  发布时间:2020-09-30  浏览次数:79

近日,法国数据保护管理机构——国家信息自由委员会(The Commission nationale de l'informatique et des libertés,以下简称CNIL)依据《通用数据保护条例》(下称GDPR)对法国跨国电商Spartoo作出了25万欧元的罚款决定,这也是CNIL作为主要监管机构对涉及跨境加工的公司开出的第一张罚单。



来自Carlton Field律师事务所的Christina Gagnier对这一处罚决定进行了评论和解读,Christina认为,在其作出的执行决定中,CNIL着重关注了Spartoo对《通用数据保护条例》中以下内容的违反:


1、违反了数据最小化原则


GDPR第5-1 c)条规定,个人数据必须是充分的,相关的,并应限制在处理目的所需的范围内。

CNIL指出,Spartoo记录了客户和支持团队之间的所有电话对话,其目的是用于 "员工培训和评估",但实际上没有必要对所有电话都进行录音;少数电话录音中有客户的银行信息,这些银行信息非是为实现培训目的所必需的;此外,Spartoo以“打击诈骗”为由,在意大利收集客户的身份证和健康卡信息,但收集身份证已经足以确定客户身份,健康卡的收集违反了数据最小化原则,并且是过度的,与所追求的目的无关。


2、违反了存储限制原则


GDPR第5-1 e)条规定,个人数据以允许识别主体形式保存的时间,不得超过处理这些数据的目的所需的时间。


经调查,CNIL发现Spartoo缺少有效的数据保留政策和相应的删除客户信息的时间框架,具体表现为其积压了大量客户的个人信息,对于超过2500万名三年以上没有在该网站上活动的用户,其记录没有被及时清理。


3、未能提供适当的通知


根据GDPR第13条的规定,数据控制者在收集数据时应提供与其身份和联系方式有关的信息、数据保护人员的身份、处理目的及其法律依据、接收者的身份、个人数据的传输,个人数据的保留期限、个人享有的权利以及向“监管机构”提出投诉的权利。


CNIL指出,Spartoo的隐私声明并未提及客户数据正在被传输至马达加斯加,而关于电话录音的员工隐私政策也没有提及处理目的、处理的法律依据、接收者、保留时间、个人权利以及向CNIL投诉的可能性。因此,这构成了GDPR中通知义务的违反。


4、违反执行技术和组织措施的义务


GDPR第32-1条规定,考虑到知识水平、实施成本、处理的性质、范围、背景、目的以及风险、概率和严重程度、自然人权利和自由,控制者和处理者应实施适当的技术和组织措施,以保证与风险相适应的安全水平,特别是确保持续保密性、完整性、可用性、处理系统和服务的弹性。


CNIL认为,Spartoo作为数据控制者,允许用户使用相同字符创建一个6位数字的密码,该密码被修改为至少8个字符,相同类别字符的8位密码保密性很弱,不能达到强密码的标准。此外,Spartoo还通过未加密的电子邮件收集了客户银行卡的扫描件,并将其与其他支持文档一起保存,而未采取其他安全措施。因此,该公司未采取适当的安全措施来保护客户的银行数据,且违反了GDPR第32-1条。


对于这一决定,有评论称,CNIL此次执法行动可能会为GDPR执法打开闸门。随着越来越多的欧盟数据保护机构发布关于GDPR特定条款的指南,无论是Cookie还是数据传输机制的合法性,企业都应确保其可以应对来自各个数据保护机构的调查和执法行动。


本文原载于“jdsupra.com”,作者Christina Gagnier。



 
奥航智讯官方微信
联系我们 | CONTACT US
  • 公司地址:上海市浦东新区 年家浜路526号 周浦万达广场C栋1710室
  • 联系电话:021-51099961
  • 企业邮箱:contact@smart-alliance.com
  • W  E  B  :  www.smart-alliance.com
在线留言 | FEEDBACK
Copyright 2012-2020 SC Alliance, All Rights Reserved        沪ICP备14020833号-1        上海奥航智能科技有限公司