CNIL 剛剛宣佈於 11 月 24 日對 EDF 實施制裁。該電力供應商因未能履行一般資料保護規範(GDPR)和郵政和電子通訊法規(CPCE)規定的多項義務而面臨 60 萬歐元的罰款。罰款金額不僅考慮了違規行為,還考慮了公司在訴訟過程中的配合以及為糾正被指控的缺陷而採取的所有措施。
事實上,CNIL 收到了一些人們的投訴,他們認為 EDF 很難考慮到他們的權利。這首先涉及 2020 年至 2021 年間以電子方式進行的商業勘探活動。她承認她沒有對所使用的同意收集表格進行任何核實。此外,它還沒有對數據經紀人進行審計(數據經紀人)誰進行了資訊收集。
EDF 在其網站上也沒有提供足夠的有關個人資料保護的信息,從而破壞了 GDPR。例如,保留期限不精確,每個用例的法律依據也沒有明確描述。此外,該公司在發送的銷售勘探信中沒有具體說明數據的來源。而且,當某些客戶想要行使其權利時,EDF 並沒有在 GDPR 第 12 條規定的 1 個月期限內回應。 CNIL 也批評 EDF 沒有考慮某些反對接受商業勘探的人的請求(GDPR 第 21 條),並向請求存取其資料的客戶提供了不準確的資訊(GDPR 第 15 條) )。
最後,EDF 對其客戶資料的保護很差。截至2022年7月,超過25,000個帳戶的「素能」入口網站客戶專區的存取密碼並未受益於足夠的安全措施。而對於EDF客戶區擁有超過240萬個帳戶的用戶來說,他們沒有得到足夠的保護(沒有使用加鹽技術添加隨機字元),並且存在被駭客攻擊時被發現的風險。
來源 : 法國國家資訊實驗室
