Zarejestruj się i uzyskaj dostęp do licznych narzędzi

CNIL nakłada grzywnę na NS Cards France za naruszenie zasad przechowywania danych i gromadzenia plików cookie

16/01/2024

Francuski organ ochrony danych, CNIL nałożył na NS Cards France grzywnę w wysokości 105 000 euro za poważne naruszenia przepisów o ochronie danych. Decyzja wydana została w następstwie szczegółowego dochodzenia, które ujawniło liczne naruszenia związane z przechowywaniem danych, bezpieczeństwem haseł i praktykami gromadzenia plików cookie.


CNIL nakłada grzywnę na NS Cards France za naruszenie zasad przechowywania danych i gromadzenia plików cookie

CNIL nakłada grzywnę na NS Cards France za naruszenie zasad przechowywania danych i gromadzenia plików cookie

NS Cards France, platforma ułatwiająca płatności online, została poddana kontroli CNIL ze względu na praktyki przetwarzania danych. Użytkownicy tworzący konta na platformie byli zobowiązani do podania obszernych danych osobowych, w tym imion i nazwisk, dat urodzenia, adresów e-mail, numerów telefonów i danych bankowych. Dochodzenie CNIL koncentrowało się na tym, w jaki sposób NS Cards France przetwarzała te wrażliwe dane i czy była zgodna z ogólną ustawą o ochronie danych (RODO) oraz ustawą nr 78-17 z dnia 6 stycznia 1978 r. o przetwarzaniu danych, plikach danych i wolnościach osobistych.

 

Dochodzenie ujawniło szereg naruszeń, które wzbudziły obawy co do zaangażowania NS Cards France w ochronę danych i prywatności. CNIL stwierdziła, że dane osobowe zebrane przez NS Cards France były przechowywane przez 10 lat od daty ostatniej transakcji, co stanowi naruszenie art. 5 ust. 1 lit. e) RODO, który wymaga przechowywania danych tylko przez niezbędny okres.

 

Ponadto CNIL odkryła, że NS Cards France nie przeprowadzała regularnego czyszczenia swojej bazy danych od momentu jej powstania w 2005 r., w wyniku czego 51 735 kont zostało zachowanych bez wyraźnego celu lub wiadomości e-mail z potwierdzeniem. Uchybienie to zostało uznane przez CNIL za wyraźne naruszenie art. 5 ust. 1 lit. e) RODO.

 

Dochodzenie ujawniło również niedociągnięcia w polityce prywatności NS Cards France. CNIL zauważyła, że polityka była niekompletna, nieaktualna od czasu jej ostatniej aktualizacji w 2018 r. i dostępna tylko w języku angielskim, co stanowi naruszenie art. 12 i 13 RODO, które wymagają przejrzystych i łatwo dostępnych informacji dla osób, których dane dotyczą.

 

Oprócz kwestii związanych z przechowywaniem danych, CNIL ujawniła niepokojące luki w zabezpieczeniach haseł. NS Cards France zezwalało na używanie sześcioznakowych haseł składających się wyłącznie z małych i wielkich liter, co prowadziło do słabego uwierzytelniania. Przechowywanie 49 214 haseł w postaci zwykłego tekstu, wraz z wykorzystaniem przestarzałego formatu dla innych haseł, naruszało art. 32 RODO, który nakazuje stosowanie solidnych środków bezpieczeństwa.

 

Wreszcie, CNIL ustaliła, że strona internetowa NS Cards France zdeponowała 13 plików cookie na urządzeniach użytkowników bez uzyskania uprzedniej świadomej zgody, co stanowi naruszenie art. 82 ustawy.

 

Więcej: https://www.cnil.fr/fr/paiement-electronique-la-cnil-inflige-une-amende-de-105-000-euros-ns-cards-france

 

 

Jeżeli chcesz być informowany na bieżąco o naszych publikacjach w www.odoserwis.pl dołącz do nas:

Facebook https://www.facebook.com/odoserwis.pl.2016/

Linkedin https://www.linkedin.com/company/odoserwis-pl/

 

-----------------------------------------------------

Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl

 

 Irlandzka Komisja Ochrony Danych nałożyła karę 91 milionów euro na Meta Ireland za naruszenia RODO
Irlandzka Komisja Ochrony Danych nałożyła karę 91 milionów euro na Meta Ireland za naruszenia RODO
Holenderski organ ochrony danych nakłada wysokie kary za naruszenia RODO dla Uber i Clearview AI
Holenderski organ ochrony danych nakłada wysokie kary za naruszenia RODO dla Uber i Clearview AI
Szwedzki Urząd Ochrony Prywatności (IMY)  wymagania dotyczące akredytacji jednostek certyfikujących
Szwedzki Urząd Ochrony Prywatności (IMY) wymagania dotyczące akredytacji jednostek certyfikujących