近日,法国零售业巨头家乐福及其银行部门因多次违反GDPR被当地数据保护监管机构罚款超过300万欧元(合370万美元)。
据报道,法国国家信息自由委员会(CNIL)对法国家乐福处以225万欧元的罚款,而家乐福银行则受到80万欧元的罚款。
CNIL表示,在处罚“量刑”时考虑了家乐福已经积极采取的重大补救措施。
但是,合规专家Cordery指出,这些家乐福违规的范围扩展到了9个关键领域。
其中包括,有关数据保护条款信息过于复杂和不精确、与其他信息一起隐藏在冗长的文档中且缺少关于数据保留的关键信息。
此外,家乐福的Cookie的使用是非法的,处理数据主体请求的政策过于严格,没有达到响应数据主体请求的时间限制,并且在传输数据时没有完全透明。
CNIL声称,最后一次购买行为发生后,家乐福对客户数据的保留期过长(四年)。此外,CNIL认为家乐福官网(carrefour.fr)上也没有足够的有关欧盟以外用户数据传输的信息以及进行处理的法律依据。
Cordery指出:“鉴于隐私盾牌法案(Privacy Shield)失效,越来越多的人关注使用标准合同条款的数据传输。”
“数据保护监管机构也开始将重点关注企业在其网站上的关于数据传输的条款。因此,请审查您的网站,以确保其符合GDPR透明度标准,尤其是数据传输的信息。”Cordery说道。
CNIL是欧洲最活跃的GDPR监管机构之一。开出了GDPR颁布后第一个巨额罚单,因未能通知用户有关其数据的使用方式,对Google处以5000万欧元(合6000万美元)的罚款。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
