Kaspr 公司刚刚因不遵守 GDPR 的做法被国家信息技术和自由委员会处以 24 万欧元的罚款。该公司刚刚被指控在未经 LinkedIn 用户明确同意的情况下收集其数据。
我们不会肆意掠夺
在昨天发布的决定中,CNIL 扣留未经授权的数据恢复。事实上,Kaspr 收集了电子邮件和电话号码然而,LinkedIn 用户仍将自己的可见性限制在联系人或受限圈子内,而不允许他们进行普遍访问。然后可以通过 Kaspr 销售的浏览器扩展程序访问该信息。
通过这种不光彩的做法,该公司丰富了其数据库,其中包含大约160 000 个联系人,不仅从 LinkedIn 获取信息,还从其他网站获取信息。同样,有人指出,收集的数据存储时间超出了立法允许的期限(GDPR 第 5-1-e 条),并且人们无权请求行使访问权(GDPR 第 15 条) )
总体而言,委员会认为缺乏透明度,相关用户没有得到足够早的通知,也没有清楚地了解他们的数据是如何恢复的,甚至更少被使用。此外,向正在寻求解释的用户提供了不完整的答案。
在这样的条件下,宣布24万欧元的财务罚款对于不遵守 GDPR 的情况,六个月内强制遵守,立即停止收集有关选择有限可见性的用户的数据,应用合规做法以确保个人数据的保护。
就他而言,Kaspr 承认自 2022 年以来一直受到 CNIL 的调查,但表示对这一决定感到失望。它声称已采取合规努力:我们为解决 CNIL 的担忧做出了巨大努力,并根据其调查结果继续调整我们的政策。
。
决定摘录:CNIL 对所有这些违规行为处以 240,000 欧元的罚款,并命令 KASPR 公司:
停止收集那些选择限制其联系方式可见性的人的数据,并删除以这种方式收集的数据。否则,如果无法区分可见性有限的数据,公司必须在 3 个月内告知相关人员其数据的处理情况以及反对的可能性,并仅将其数据用于以下目的。这个目的;
- 停止自动更新目标人员个人数据的保留;
- 以他们所说的语言告知其数据被收集的人;
通过向个人提供有关数据收集来源的所有信息来跟进个人的访问权请求。
CNIL 在发布这些禁令时规定了 6 个月的遵守期限,截止日期为 2025 年 6 月 18 日。
