France’s data protection authority fined Discord for various GDPR violations

Date: February 13, 2023

By Iro Katrachoura

The French Data Protection Authority (“CNIL”) has issued a decision fining the owner of the messaging and digital distribution platform Discord €800.000 for non-compliance with GDPR requirements on retention periods and the security of personal data.

Below you may find the full article in Greek

Της Ηρούς Κατραχούρα

Η Γαλλική Αρχή Προστασίας Προσωπικών Δεδομένων (“Commission nationale de l’informatique et des libertés, εφεξής “CNIL”) εξέδωσε απόφαση με την οποία επέβαλλε πρόστιμο ύψους 800 χιλιάδων ευρώ στην ιδιοκτήτρια εταιρεία της πλατφόρμας ανταλλαγής μηνυμάτων και ψηφιακής διανομής Discord, για μη συμμόρφωση με τις απαιτήσεις του GDPR σχετικά με τα χρονικά διαστήματα διατήρησης και την ασφάλεια των προσωπικών δεδομένων.

Το Discord είναι μια δωρεάν εφαρμογή ανταλλαγής φωνητικών ή βίντεο-κλήσεων, φωτογραφιών και κειμένου που απευθύνεται σε εφήβους και ενήλικες. Η ιδιοκτήτρια εταιρεία της πλατφόρμας, “DISCORD INC.” εδρεύει στις ΗΠΑ.

Κατόπιν έρευνας που πραγματοποίησε η CNIL στον ιστότοπο “discord.com” και στην εφαρμογή για κινητά τηλέφωνα, διαπίστωσε τις ακόλουθες παραβιάσεις του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων:

  • Μη συμμόρφωση με την υποχρέωση καθορισμού της περιόδου διατήρησης των δεδομένων, ανάλογης προς το σκοπό της επεξεργασίας (Άρθρο 5 παρ. 1 ε’ του GDPR): Η εταιρεία δε διέθετε έγγραφη πολιτική διατήρησης δεδομένων, ενώ διαπιστώθηκε ότι στη βάση δεδομένων της εφαρμογής υπήρχαν χιλιάδες λογαριασμοί Γάλλων χρηστών που δεν είχαν χρησιμοποιηθεί για περισσότερα από πέντε έτη.
  • Μη συμμόρφωση με την υποχρέωση ενημέρωσης (άρθρο 13 του GDPR): Οι πληροφορίες που παρέχονταν σχετικά με τα χρονικά διαστήματα διατήρησης των δεδομένων ήταν ελλιπείς.
  • Μη συμμόρφωση με την υποχρέωση προστασίας των δεδομένων «εξ ορισμού» (άρθρο 25 παρ. 2 του GDPR): Οι χρήστες παρέμεναν συνδεδεμένοι στο κανάλι ομιλίας, ακόμα και αν έκλειναν το παράθυρο της εφαρμογής, χωρίς να έχουν λάβει ειδική ενημέρωση σχετικά με αυτό.
  • Μη συμμόρφωση με την υποχρέωση ασφάλειας των προσωπικών δεδομένων (άρθρο 32 του GDPR): Κρίθηκε ότι η πολιτική διαχείρισης κωδικών πρόσβασης δε διέθετε επαρκή κριτήρια πολυπλοκότητας, ούτε κάποια σύνδεση με πρόσθετα μέτρα ασφαλείας.
  • Παράλειψη διενέργειας εκτίμησης αντικτύπου [“DPIA”] (άρθρο 35 του GDPR): H CNIL έκρινε ότι η εταιρεία θα έπρεπε να είχε διενεργήσει DPIA, δεδομένου του όγκου των δεδομένων που επεξεργάζεται και της χρήσης των υπηρεσιών της από ανηλίκους.

Κατά τον υπολογισμό του προστίμου, η CNIL έλαβε υπόψη: α) τη φύση των παραβιάσεων, β) τον αριθμό των εμπλεκόμενων υποκειμένων των δεδομένων, γ) το γεγονός ότι το επιχειρηματικό μοντέλο της Discord δε βασίζεται στην επεξεργασία προσωπικών δεδομένων και δ) τις προσπάθειες που κατέβαλε η Discord για να συνεργαστεί με την CNIL κατά τη διάρκεια της έρευνας.