غرمت شركة Discord Inc. 800000 يورو من قبل CNIL ، منظم الناتج المحلي الإجمالي في فرنسا
السياق
DISCORD هي خدمة صوتية عبر IP (تقنية تتيح للمستخدمين الدردشة عبر الميكروفون و / أو كاميرا الويب عبر الإنترنت) وخدمة المراسلة الفورية ، حيث يمكن للمستخدمين إنشاء خوادم وغرف نصية وصوت وفيديو. تم نشر الخدمة بواسطة DISCORD INC ، وهي شركة مقرها الولايات المتحدة.
بناءً على استنتاجات التحقيقات ، اعتبرت اللجنة المقيدة - هيئة CNIL المسؤولة عن إصدار العقوبات - أن الشركة قد انتهكت العديد من الالتزامات الناشئة عن اللائحة العامة لحماية البيانات (GDPR). وفرضت غرامة قدرها 800 ألف يورو على شركة DISCORD INC. التي تم جعلها عامة.
تم تحديد مبلغ الغرامة على أساس الانتهاكات المذكورة وعدد الأشخاص المعنيين ، ولكن أيضًا مع الأخذ في الاعتبار الجهود التي تبذلها الشركة طوال الإجراء لتحقيق الامتثال وحقيقة أن نموذج أعمالها لا يقوم على استغلال البيانات الشخصية. الجرائم المعاقب عليها عدم التعريف والامتثال لفترة الاحتفاظ بالبيانات التي تم تكييفها مع الغرض (المادة 5.1 هـ من اللائحة العامة لحماية البيانات)
أثناء عملية التحقيق ، قالت الشركة إنها ليس لديها سياسة مكتوبة للاحتفاظ بالبيانات. أكدت النتائج التي توصلت إليها CNIL وجود 2474000 حساب مستخدم فرنسي في قاعدة بيانات DISCORD لم يتم استخدامها لأكثر من ثلاث سنوات و 58000 حساب لم يتم استخدامها لأكثر من خمس سنوات.
ومع ذلك ، لاحظت اللجنة المختارة أن الشركة امتثلت لالتزام القانون العام لحماية البيانات هذا أثناء الإجراءات ، حيث أن لديها الآن سياسة مكتوبة للاحتفاظ بالبيانات ، والتي تتضمن حذف الحسابات بعد عامين من عدم نشاط المستخدم. عدم الامتثال لالتزام المعلومات (المادة 13 من القانون العام لحماية البيانات)
في وقت إجراء الاستطلاعات عبر الإنترنت ، كانت المعلومات المتعلقة بفترات الاحتفاظ بالبيانات غير كاملة: لم تكن هناك فترات أو معايير محددة لتحديدها.
امتثلت الشركة أيضًا لهذا الالتزام أثناء الإجراء. عدم ضمان حماية البيانات افتراضيًا (المادة 25.2 من اللائحة العامة لحماية البيانات)
عندما يغلق مستخدم متصل بغرفة صوتية نافذة تطبيق DISCORD بالنقر على رمز "X" أعلى يمين النافذة في Microsoft Windows ، فإنه يضع التطبيق في الخلفية ويظل متصلاً بصوت الغرفة . ومع ذلك ، في Microsoft Windows ، سيؤدي النقر فوق "X" في الجزء العلوي الأيمن من آخر نافذة تطبيق مرئية إلى إنهاء التطبيق بالنسبة للغالبية العظمى من التطبيقات.
يختلف سلوك DISCORD وقد يتسبب في سماع الأعضاء الآخرين في غرفة الصوت للمستخدمين عندما ظنوا أنهم ذهبوا. شعرت اللجنة المختارة أنه يجب على DISCORD إبلاغ المستخدمين على وجه التحديد من خلال إعلامهم بأن كلماتهم لا تزال تُنقل ويسمعها الآخرون.
ومع ذلك ، كجزء من الإجراءات ، فإن DISCORD INC. نفذت نافذة منبثقة لتنبيه الأشخاص المتصلين بغرفة الصوت ، عند إغلاق النافذة لأول مرة ، أن تطبيق DISCORD لا يزال قيد التشغيل ، وأنه يمكن للمستخدم تعديل هذه المعلمة مباشرة. < / ص>
عدم ضمان أمن البيانات الشخصية (المادة 32 من اللائحة العامة لحماية البيانات)
في وقت إجراء الاستطلاع عبر الإنترنت ، عند إنشاء حساب على DISCORD ، تم قبول كلمة مرور مكونة من ستة أحرف تتكون من أحرف وأرقام.
اعتبرت اللجنة المختارة أن سياسة إدارة كلمة المرور الخاصة بـ DISCORD لم تكن قوية ومقيدة بما يكفي لضمان أمان حسابات المستخدمين.
ومع ذلك ، فقد اتخذت الشركة خطوات في العملية لتأمين الوصول إلى الحسابات: فهي تتطلب الآن من المستخدمين تعيين كلمة مرور مكونة من ثمانية أحرف على الأقل ، مع ثلاثة على الأقل من أنواع كلمات المرور الأربعة. الأحرف (أحرف صغيرة ، أحرف كبيرة ، أرقام والرموز الخاصة) ، وبعد عشر محاولات غير ناجحة لتسجيل الدخول ، تطلب الشركة حل اختبار captcha (سؤال وجواب ، على سبيل المثال عبر مربع اختيار أو تحديد صورة).
عدم وجود تحليل التأثير المتعلق بحماية البيانات (المادة 35 من اللائحة العامة لحماية البيانات)
شركة DISCORD INC. اعتبر أنه ليس من الضروري إجراء تقييم لتأثير حماية البيانات.
اعتبرت اللجنة المختارة أنه كان يجب على الشركة إجراء دراسة التأثير هذه ، نظرًا لحجم البيانات التي تعالجها الشركة واستخدام خدماتها من قبل القصر.
اتخذت الشركة خطوات أثناء الإجراء من خلال إجراء تقييمين للأثر لمعالجتها المتعلقة بخدمة DISCORD وخدماتها الرئيسية ، والتي خلصت إلى أن المعالجة ليس من المحتمل أن تسبب أي مخاطر كبيرة على حقوق وحريات الأفراد.
DISCORD هي خدمة صوتية عبر IP (تقنية تتيح للمستخدمين الدردشة عبر الميكروفون و / أو كاميرا الويب عبر الإنترنت) وخدمة المراسلة الفورية ، حيث يمكن للمستخدمين إنشاء خوادم وغرف نصية وصوت وفيديو. تم نشر الخدمة بواسطة DISCORD INC ، وهي شركة مقرها الولايات المتحدة.
بناءً على استنتاجات التحقيقات ، اعتبرت اللجنة المقيدة - هيئة CNIL المسؤولة عن إصدار العقوبات - أن الشركة قد انتهكت العديد من الالتزامات الناشئة عن اللائحة العامة لحماية البيانات (GDPR). وفرضت غرامة قدرها 800 ألف يورو على شركة DISCORD INC. التي تم جعلها عامة.
تم تحديد مبلغ الغرامة على أساس الانتهاكات المذكورة وعدد الأشخاص المعنيين ، ولكن أيضًا مع الأخذ في الاعتبار الجهود التي تبذلها الشركة طوال الإجراء لتحقيق الامتثال وحقيقة أن نموذج أعمالها لا يقوم على استغلال البيانات الشخصية. الجرائم المعاقب عليها عدم التعريف والامتثال لفترة الاحتفاظ بالبيانات التي تم تكييفها مع الغرض (المادة 5.1 هـ من اللائحة العامة لحماية البيانات)
أثناء عملية التحقيق ، قالت الشركة إنها ليس لديها سياسة مكتوبة للاحتفاظ بالبيانات. أكدت النتائج التي توصلت إليها CNIL وجود 2474000 حساب مستخدم فرنسي في قاعدة بيانات DISCORD لم يتم استخدامها لأكثر من ثلاث سنوات و 58000 حساب لم يتم استخدامها لأكثر من خمس سنوات.
ومع ذلك ، لاحظت اللجنة المختارة أن الشركة امتثلت لالتزام القانون العام لحماية البيانات هذا أثناء الإجراءات ، حيث أن لديها الآن سياسة مكتوبة للاحتفاظ بالبيانات ، والتي تتضمن حذف الحسابات بعد عامين من عدم نشاط المستخدم. عدم الامتثال لالتزام المعلومات (المادة 13 من القانون العام لحماية البيانات)
في وقت إجراء الاستطلاعات عبر الإنترنت ، كانت المعلومات المتعلقة بفترات الاحتفاظ بالبيانات غير كاملة: لم تكن هناك فترات أو معايير محددة لتحديدها.
امتثلت الشركة أيضًا لهذا الالتزام أثناء الإجراء. عدم ضمان حماية البيانات افتراضيًا (المادة 25.2 من اللائحة العامة لحماية البيانات)
عندما يغلق مستخدم متصل بغرفة صوتية نافذة تطبيق DISCORD بالنقر على رمز "X" أعلى يمين النافذة في Microsoft Windows ، فإنه يضع التطبيق في الخلفية ويظل متصلاً بصوت الغرفة . ومع ذلك ، في Microsoft Windows ، سيؤدي النقر فوق "X" في الجزء العلوي الأيمن من آخر نافذة تطبيق مرئية إلى إنهاء التطبيق بالنسبة للغالبية العظمى من التطبيقات.
يختلف سلوك DISCORD وقد يتسبب في سماع الأعضاء الآخرين في غرفة الصوت للمستخدمين عندما ظنوا أنهم ذهبوا. شعرت اللجنة المختارة أنه يجب على DISCORD إبلاغ المستخدمين على وجه التحديد من خلال إعلامهم بأن كلماتهم لا تزال تُنقل ويسمعها الآخرون.
ومع ذلك ، كجزء من الإجراءات ، فإن DISCORD INC. نفذت نافذة منبثقة لتنبيه الأشخاص المتصلين بغرفة الصوت ، عند إغلاق النافذة لأول مرة ، أن تطبيق DISCORD لا يزال قيد التشغيل ، وأنه يمكن للمستخدم تعديل هذه المعلمة مباشرة. < / ص>
عدم ضمان أمن البيانات الشخصية (المادة 32 من اللائحة العامة لحماية البيانات)
في وقت إجراء الاستطلاع عبر الإنترنت ، عند إنشاء حساب على DISCORD ، تم قبول كلمة مرور مكونة من ستة أحرف تتكون من أحرف وأرقام.
اعتبرت اللجنة المختارة أن سياسة إدارة كلمة المرور الخاصة بـ DISCORD لم تكن قوية ومقيدة بما يكفي لضمان أمان حسابات المستخدمين.
ومع ذلك ، فقد اتخذت الشركة خطوات في العملية لتأمين الوصول إلى الحسابات: فهي تتطلب الآن من المستخدمين تعيين كلمة مرور مكونة من ثمانية أحرف على الأقل ، مع ثلاثة على الأقل من أنواع كلمات المرور الأربعة. الأحرف (أحرف صغيرة ، أحرف كبيرة ، أرقام والرموز الخاصة) ، وبعد عشر محاولات غير ناجحة لتسجيل الدخول ، تطلب الشركة حل اختبار captcha (سؤال وجواب ، على سبيل المثال عبر مربع اختيار أو تحديد صورة).
عدم وجود تحليل التأثير المتعلق بحماية البيانات (المادة 35 من اللائحة العامة لحماية البيانات)
شركة DISCORD INC. اعتبر أنه ليس من الضروري إجراء تقييم لتأثير حماية البيانات.
اعتبرت اللجنة المختارة أنه كان يجب على الشركة إجراء دراسة التأثير هذه ، نظرًا لحجم البيانات التي تعالجها الشركة واستخدام خدماتها من قبل القصر.
اتخذت الشركة خطوات أثناء الإجراء من خلال إجراء تقييمين للأثر لمعالجتها المتعلقة بخدمة DISCORD وخدماتها الرئيسية ، والتي خلصت إلى أن المعالجة ليس من المحتمل أن تسبب أي مخاطر كبيرة على حقوق وحريات الأفراد.
What's Your Reaction?
