H πολυεθνική εταιρεία Carrefour αναγκάστηκε  να καταβάλλει το ποσό των 3 εκατομμυριών ευρώ για πολλαπλές παραβιάσεις προστασίας προσωπικών δεδομένων. Στην εταιρεία Carrefour France επιβλήθηκε πρόστιμο 2,25 εκατ. ευρώ, ενώ στην θυγατρική της Τράπεζα Carrefour Banque το ποσό των 800,000 ευρώ.

Πιο συγκεκριμένα, η γαλλική αρχή προστασίας δεδομένων,  CNIL, επέβαλλε  το  πρόστιμο στις δύο εταιρείες του Ομίλου Carrefour για παραβιάσεις του GDPR πολλών ειδών, όπως η υποχρέωση ενημέρωσης των φυσικών προσώπων, η χρήση cookies, ο περιορισμός του χρόνου  διατήρησης δεδομένων, η υποχρέωση διευκόλυνσης της άσκησης δικαιωμάτων των υποκειμένων και η μη εκπλήρωση των αιτημάτων άσκησης δικαιωμάτων.

Μετά από καταγγελίες, η CNIL διενήργησε ελέγχους στις εταιρείες από το Μάϊο έως και τον Ιούλιο του 2019.

Η CNIL διαπίστωσε ότι οι πληροφορίες που δίνονταν στους χρήστες των δικτυακών τόπων των εταιρειών δεν ήταν εύκολα προσβάσιμες ή κατανοητές και δεν περιλάμβαναν πλήρεις πληροφορίες σχετικά με τη διάρκεια διατήρησης των δεδομένων. Οι πληροφορίες ήταν επίσης ανεπαρκείς όσον αφορά τις μεταφορές δεδομένων εκτός της Ευρωπαϊκής Ένωσης και τη νομική βάση για την επεξεργασία τους.

Επιπλέον, η CNIL διαπίστωσε ότι η Carrefour είχε τοποθετήσει αυτόματα cookies στις μηχανές των χρηστών πριν δώσουν τη συγκατάθεσή τους. Ανέφερε επίσης ότι η Carrefour France δεν είχε εφαρμόσει τις περιόδους διατήρησης δεδομένων που είχε ορίσει, διατηρώντας δεδομένα για περισσότερους από 28 εκατομμύρια πελάτες που ήταν ανενεργοί για πέντε έως 10 χρόνια. Η CNIL έκρινε επίσης την τετραετή περίοδο της πολιτικής των εταιρειών για τη διατήρηση δεδομένων ως «υπερβολική».

Η Carrefour απαιτούσε απόδειξη ταυτότητας για την άσκηση δικαιωμάτων δεδομένων, ένα μέτρο που κρίθηκε από την CNIL ως «αδικαιολόγητο». Παράλληλα, όπως ανακάλυψε η γαλλική αρχή,  η εταιρεία δεν επεξεργάστηκε τα αιτήματα για άσκηση δικαιωμάτων εντός χρονικών ορίων, δεν απάντησε σε πολλά αιτήματα ατόμων που επιθυμούσαν να έχουν πρόσβαση στα δεδομένα τους και επίσης σε αρκετές περιπτώσεις δεν διέγραψε δεδομένα όταν ζητήθηκε.

Η CNIL ανακάλυψε τέλος ότι η Carrefour Banque ενώ  ανέφερε ότι καμία άλλη πληροφορία εκτός από το όνομα και τη διεύθυνση ηλεκτρονικού ταχυδρομείου δεν θα κοινοποιείται στην “Carrefour loyalty” όταν ένας πελάτης προσυπογράφει το πρόγραμμα πίστωσης της κάρτας pass, στην πραγματικότητα, διαβίβαζε και άλλα δεδομένα, συμπεριλαμβανομένης της ταχυδρομικής διεύθυνσης, του αριθμού τηλεφώνου και του αριθμού των παιδιών σε κάθε νοικοκυριό.

Η CNIL ωστόσο, αποφάσισε να μην εκδώσει ασφαλιστικά μέτρα, εφόσον εκτίμησε ότι η Carrefour έκανε αξιοσημέιωτες  προσπάθειες συμμόρφωσης για όλες τις παραβιάσεις.

Από τότε που αυτές αποκαλύφθηκαν, η Carrefour δέσμευσε μεγάλο αριθμό πόρων για να εξασφαλίσει τη συμμόρφωση, δήλωσε η CNIL.

Ως εκ τούτου, η εταιρεία, τροποποίησε τις πληροφορίες και τις ειδοποιήσεις στις ιστοσελίδες της, άλλαξε τον τρόπο με τον οποίο χρησιμοποιεί τα cookies, διέγραψε παλιά δεδομένα, ανέπτυξε σημαντικούς ανθρώπινους και οργανωτικούς πόρους για να ανταποκριθεί σε όλα τα αιτήματα που έλαβε εντός περιόδου μικρότερης του ενός μηνός και αναθεώρησε πλήρως τις ηλεκτρονικές διαδικασίες συνδρομής της για να ενημερωθούν με ακρίβεια τα φυσικά πρόσωπα σχετικά με  για τις μεταβιβάσεις των δεδομένων τους.