PAP違反GDPR被CNIL處以10萬歐元罰款

 2024 年 1 月 31 日，法國隱私保護機構（National Commission on Informatics and Liberty, CNIL）對 pap.fr （De Particulier à Particulier） 網站營運商 PAP 處以 100,000 歐元罰款，其理由包括，

• 資料保留期限：PAP未遵守資料保留期限的原則，即只能在達成處理目的所需的時間內保留資料。CNIL發現PAP保留了一些超過兩年沒有活動的用戶帳戶，以及一些超過五年沒有更新的房地產廣告。
• 告知個人義務：PAP沒有遵守個人資訊的原則，即必須向資料主體提供清楚、完整、易於理解的資訊，包括資料控制者的身份、資料處理的目的、資料接收者的類別、資料保留的期限、資料主體的權利等。CNIL發現PAP的隱私政策和使用條款缺乏此類資訊，或者將資訊分散在不同的文件中，使得資料主體難以獲得完整內容。
• 處理者契約：PAP沒有遵守處理者契約的原則，即必須與處理資料的第三方簽訂契約以規範數據資料的處理方式、目的、安全措施等。CNIL發現PAP與其合作夥伴之間沒有簽訂此類契約，或者簽訂的合同不符合GDPR的要求。
• 資料安全：PAP沒有遵守資料安全的原則，即必須採取適當的技術和組織措施，以防止資料遭到意外或非法的破壞、丟失、變更、未經授權的揭露或存取。CNIL發現PAP的網站存在多個安全漏洞，使得資料主體的個人資訊和敏感資訊（如銀行資訊）面臨被竊取或濫用的風險。