CNIL nałożył karę pieniężną w wysokości 800 tys. euro na popularną platformę Discord. Kara jest wynikiem naruszeń m.in. w zakresie bezpieczeństwa danych osobowych użytkowników platformy.
CNIL czy francuski organ nadzorczy przeprowadził kontrolę na platformie Discord – zarówno na stronie WWW jak i w ramach aplikacji mobilnej. Usługa oferowana przez Discord Inc. (z siedzibą w USA) to tzw. Voice over IP czyli technologia umożliwiająca użytkownikom komunikację w ramach czatu za pomocą mikrofonu lub kamery internetowej. Poza tym na platformie tworzone są serwery, pokoje tekstowe, głosowe oraz wideo.
W toku postępowania kontrolnego francuski organ nadzorczy stwierdził naruszenia ochrony danych. Przede wszystkim doszło do nieprawidłowości w zakresie przechowywania danych. Firma nie przyjęła polityki retencji, przez co przechowywała dane osobowe dłużej niż było to konieczne do realizacji celów przetwarzania. Chodzi tu o dane osobowe na kontach, które nie były używane od kilku lat. Właściwa polityka retencji została przyjęta dopiero w toku postępowania.
Organ nadzorczy może zwrócić uwagę na brak właściwej polityki retencji, choć nie jest to dokument wprost wymagany przez RODO.
Poza tym firma Discord nie spełniała kompleksowo obowiązku informacyjnego wobec użytkowników. Nie informowała bowiem o okresach przechowywania danych ani o kryteriach ustalania tych okresów. Także ten brak został uzupełniony w toku postępowania.
CNIL stwierdził również, że amerykańska firma nie zapewniała domyślnej ochrony danych (zasada privacy by default). Otóż gdy użytkownik platformy zalogowany do pokoju głosowego zamykał okno aplikacji (klikając w tym celu ikonę „X” w prawym górnym rogu okna), to aplikacja nie była zamykana, lecz jedynie minimalizowana. W efekcie użytkownik pozostawał zalogowany w pokoju głosowym i mógł być nieświadomy, że nadal jest słyszany. Platforma w żaden sposób nie informowała o tym użytkownika np. w okienku pop-up.
Nieprawidłowości dotyczyły również polityki haseł. W toku kontroli ustalono, że konta użytkowników były zabezpieczone jedynie 6-znakowymi hasłami. Uznano to za niewystarczający środek bezpieczeństwa.
Przeczytaj także: Polityka haseł – co w niej zawrzeć
Ostatnim ze stwierdzonym naruszeń było nieprzeprowadzenie DPIA. W ocenie CNIL ocena skutków przetwarzania była konieczna z uwagi na dużą ilość danych przetwarzanych przez administratora i korzystanie z jej usług przez nieletnich.
www.cnil.fr/en/discord-inc-fined-800-000-euros
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl