CNIL legt Discord boete op (o.a.) vanwege niet uitvoeren DPIA
De CNIL heeft een boete van 800.000 euro opgelegd aan Discord, een online communicatieplatform. Discord had onder meer geen DPIA uitgevoerd, geen beleid voor het bewaren van gegevens en beveiligde de gegevens niet met een wachtwoord dat sterk genoeg was. Discord was van mening dat het niet nodig was om een DPIA uit te voeren. De CNIL was van mening dat de verwerkingsverantwoordelijke dit wel had moeten doen, kijkend naar de grootschaligheid van de verwerking en het feit dat de dienst van Discord ook bedoeld was voor kinderen van vijftien jaar.
De overwegingen dienaangaande van de CNIL (machinevertaling):
I. Niet-nakoming van de verplichting om een gegevensbeschermingseffectbeoordeling uit te voeren
74. Artikel 35, lid 1, avg bepaalt dat "wanneer een soort verwerking, met name door het gebruik van nieuwe technologieën en rekening houdend met de aard, de omvang, de context en de doeleinden van de verwerking, waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen met zich meebrengt, de voor de verwerking verantwoordelijke: voorafgaand aan de verwerking, een analyse van het effect van de voorgenomen verwerkingen op de bescherming van persoonsgegevens".
75. Overweging 91 van de AVG bepaalt onder meer dat een effectbeoordeling "met name van toepassing moet zijn op grootschalige verwerkingen die gericht zijn op de verwerking van een aanzienlijke hoeveelheid persoonsgegevens op regionaal, nationaal of supranationaal niveau, die gevolgen kunnen hebben voor een aanzienlijk aantal betrokkenen ...".
76. De rapporteur is van mening dat de onderneming een gegevensbeschermingseffectbeoordeling (hierna "DPIA" genoemd) had moeten uitvoeren in het licht van twee criteria op grond waarvan de verwerking kan worden geacht waarschijnlijk een hoog risico met zich mee te brengen: grootschalige gegevensverzameling en gegevensverzameling over kwetsbare personen. De rapporteur is van mening dat de verwerking door de onderneming waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen met zich meebrengt en concludeert dat DISCORD INC. de verplichtingen van artikel 35 van de AVG heeft geschonden door geen gegevensbeschermingseffectbeoordeling uit te voeren.
77. Discord Inc. verklaart in haar verweerschrift dat zij van mening was dat een DPIA niet noodzakelijk was voor zover zij slechts zeer beperkte gegevens verwerkt, namelijk die welke nodig zijn om gebruikers in staat te stellen hun account aan te maken, haar diensten te verlenen, haar verplichtingen jegens haar gebruikers na te komen en haar wettelijke verplichtingen na te komen; zij voert geen van de in artikel 35, lid 3, van de AVG genoemde verwerkingen uit waarvoor een effectbeoordeling vereist is; zij verricht geen van de verwerkingen waarvoor de CNIL heeft geoordeeld dat een DPIA vereist is, in overeenstemming met de lijst van verwerkingen waarvoor een dergelijke analyse noodzakelijk is, die op 6 november 2018 is gepubliceerd; Het verwerkt geen gegevens over "kinderen", omdat het alleen bedoeld is voor gebruikers ouder dan vijftien jaar die een voldoende mate van volwassenheid hebben om zijn diensten te gebruiken.
78. De onderneming wijst er ook op dat de WP29-richtsnoeren inzake DPIA en de wijze waarop kan worden bepaald of verwerking "waarschijnlijk een hoog risico met zich meebrengt" in de zin van Verordening (EU) 2016/679 eraan herinneren dat een DPIA niet automatisch is, zelfs niet wanneer de verwerking voldoet aan twee van de negen criteria die zijn vastgesteld als de criteria die in aanmerking moeten worden genomen.
79. Ten slotte zet de onderneming uiteen dat zij, hoewel zij daartoe niet verplicht was op grond van de AVG, sindsdien twee DPIA's heeft uitgevoerd voor haar verwerking met betrekking tot de DISCORD-dienst en haar essentiële diensten, waarbij zij tot de conclusie is gekomen dat de verwerking waarschijnlijk niet zal leiden tot een hoog risico voor de rechten en vrijheden van personen.
80. In de eerste plaats is de beperkte formatie van mening dat DISCORD INC. door de gegevens van meer dan [...] gebruikers in Frankrijk te verwerken, op grote schaal persoonsgegevens verwerkt. Bovendien merkt de beperkte formatie op dat de applicatie ook bedoeld is om te worden gebruikt door kinderen van vijftien jaar, waarvan DISCORD INC. volledig op de hoogte is, omdat het zelf aangeeft dat het "zich inzet voor de bescherming van de privacy van kinderen en daarom maatregelen heeft genomen om ervoor te zorgen dat geen enkel kind onder de minimumleeftijd die voor elk land is gedefinieerd, toegang heeft tot Discord-diensten en een account kan aanmaken".
81. De beperkte formatie herinnert eraan dat volgens overweging 38 van de AVG "kinderen specifieke bescherming verdienen met betrekking tot hun persoonsgegevens omdat zij zich mogelijk minder bewust zijn van de risico's, gevolgen en waarborgen die aan de verwerking van persoonsgegevens verbonden zijn" en dat, overeenkomstig artikel 1 van het Internationaal Verdrag inzake de rechten van het kind, "Een kind betekent ieder mens onder de achttien jaar." Indien een minderjarige op grond van artikel 8 van de AVG en artikel 45 van de Wet bescherming persoonsgegevens alleen toestemming kan geven voor de verwerking van persoonsgegevens met betrekking tot het rechtstreeks aanbieden van diensten van de informatiemaatschappij vanaf de leeftijd van vijftien jaar, neemt dit niet weg dat de minderjarige tussen de vijftien en achttien jaar een kind blijft, en dus een kwetsbaar persoon.
82. De beperkte formatie herinnert er ter verduidelijking aan dat de bovengenoemde DPIA-richtsnoeren van WP29, gewijzigd en voor het laatst vastgesteld op 4 oktober 2017, een lijst bevatten van negen criteria waarmee rekening moet worden gehouden om een concreter beeld te geven van verwerkingen waarvoor een effectbeoordeling vereist is vanwege een hoog inherent risico. Deze criteria omvatten het op grote schaal verzamelen van persoonsgegevens en het verzamelen van gegevens over kwetsbare personen. De richtlijnen voegen eraan toe dat "in de meeste gevallen de verwerkingsverantwoordelijke van mening kan zijn dat verwerking die aan twee criteria voldoet, een DPIA vereist".
83. Wat het eerste criterium inzake grootschalige gegevensverzameling betreft, wordt in de richtsnoeren uiteengezet dat met name rekening moet worden gehouden met het aantal betrokkenen, de hoeveelheid gegevens en/of het scala aan verschillende verwerkte gegevenselementen, de duur of het behoud van de gegevensverwerkingsactiviteit en de geografische reikwijdte van de verwerkingsactiviteit. Wat het tweede criterium betreft met betrekking tot het verzamelen van gegevens over kwetsbare personen, wordt in de richtsnoeren bepaald dat de verwerking van gegevens betreffende kwetsbare personen een criterium is vanwege het toegenomen machtsonevenwicht tussen de betrokkenen en de voor de verwerking verantwoordelijke, wat betekent dat eerstgenoemde mogelijk niet gemakkelijk kan instemmen met of bezwaar kan maken tegen de verwerking van hun gegevens of hun gegevens kan uitoefenen. rechten. Onder deze kwetsbare mensen citeren de richtlijnen kinderen "die kunnen worden gezien als niet in staat om bewust en doordacht bezwaar te maken tegen of in te stemmen met de verwerking van hun gegevens."
84. Bijgevolg is de beperkte oprichting van mening dat de onderneming een effectbeoordeling van de uitgevoerde gegevensverwerking had moeten uitvoeren, rekening houdend met de hoeveelheid gegevens die door de onderneming wordt verwerkt en het gebruik van haar diensten door kinderen.
85. In de tweede plaats merkt de beperkte formatie op dat de door de onderneming verrichte verwerkingen weliswaar niet zijn opgenomen in de door de CNIL gepubliceerde "lijst van soorten verwerkingen waarvoor een gegevensbeschermingsanalyse vereist is" (Beraadslaging nr. 2018-327 van 11 oktober 2018), maar ook niet zijn opgenomen in de "lijst van soorten verwerkingen waarvoor een gegevensbeschermingseffectbeoordeling vereist is". is niet vereist" (Beraadslaging nr. 2019-118 van 12 september 2019).
86. In de derde plaats merkt de beperkte formatie op dat de onderneming in het kader van de onderhavige procedure twee DPIA's heeft uitgevoerd, die aan de CNIL zijn toegezonden en tot de conclusie zijn gekomen dat de verwerking waarschijnlijk geen hoog risico voor de rechten en vrijheden van personen zal opleveren. Zij merkt echter op dat, hoewel in de uitgevoerde effectbeoordelingen werd geconcludeerd dat er geen hoog risico was, dit niet wegneemt dat de voorafgaande voltooiing ervan noodzakelijk was om dat te waarborgen.
87. Gelet op al deze factoren is de beperkte oprichting van mening dat de vennootschap de verplichtingen van artikel 35 AVG niet is nagekomen.