CNIL 刚刚宣布于 11 月 24 日对 EDF 实施制裁。该电力供应商因未能履行一般数据保护条例(GDPR)和邮政和电子通信法规(CPCE)规定的多项义务而面临 60 万欧元的罚款。罚款金额不仅考虑了违规行为,还考虑了公司在诉讼过程中的配合以及为纠正被指控的缺陷而采取的所有措施。
事实上,CNIL 收到了一些人们的投诉,他们认为 EDF 很难考虑到他们的权利。这首先涉及 2020 年至 2021 年间以电子方式进行的商业勘探活动。该公司无法证明其之前已获得人们的有效同意,这违反了 GDPR 第 7 条和 GDPR 第 34-5 条。 CPCE。她承认她没有对所使用的同意收集表格进行任何核实。此外,它还没有对数据经纪人进行审计(数据经纪人)谁进行了信息收集。
EDF 在其网站上也没有提供足够的有关个人数据保护的信息,从而破坏了 GDPR。例如,保留期限不精确,每个用例的法律依据也没有明确描述。此外,该公司在发送的销售勘探信中没有具体说明数据的来源。而且,当某些客户想要行使其权利时,EDF 没有在 GDPR 第 12 条规定的 1 个月期限内做出回应。 CNIL 还批评 EDF 没有考虑某些反对接受商业勘探的人的请求(GDPR 第 21 条),并向请求访问其数据的客户提供了不准确的信息(GDPR 第 15 条) )。
最后,EDF 对其客户数据的保护很差。截至2022年7月,超过25000个账户的“素能”门户客户专区的访问密码并未受益于足够的安全措施。而对于EDF客户区拥有超过240万个账户的用户来说,他们没有得到足够的保护(没有使用加盐技术添加随机字符),并且存在被黑客攻击时被发现的风险。
来源 : 法国国家信息实验室
