Postępowanie przeciwko DOCTISSIMO zostało wszczęte w następstwie skargi złożonej przez stowarzyszenie PRIVACY INTERNATIONAL. Strona internetowa doctissimo.fr oferuje głównie artykuły, testy, quizy i fora dyskusyjne związane ze zdrowiem i dobrym samopoczuciem.

W trakcie dochodzeń CNIL odnotował szereg naruszeń, w szczególności dotyczących okresu przechowywania danych, gromadzenia danych dotyczących zdrowia za pomocą testów online, bezpieczeństwa danych, a także sposobów umieszczania plików cookie na urządzeniach końcowych użytkowników:

art. 5 ust. 1 lit. e) RODO) tj. nieprzechowywanie danych nie dłużej niż jest to niezbędne do celów, w których są przetwarzane;

Firma przechowywała dane dotyczące testów przeprowadzonych przez internautów przez 24 miesiące, a następnie 3 miesiące od ich zakończenia. CNIL uznał, że te okresy przechowywania są nadmierne, ponieważ nie odpowiadają ścisłej potrzebie przedsiębiorstwa, które gromadzi dane z testów, aby umożliwić użytkownikom odczytanie wyników, dzielenie się nimi i tworzenie zagregowanych statystyk.

Dane użytkowników, których konto było nieaktywne przez ponad trzy lata, były również przechowywane, na przykład, bez żadnej procedury anonimizacji.

art. 9 RODO – tj. nieuzyskanie zgody osób fizycznych na gromadzenie ich danych dotyczących zdrowia

Doctissimo nie przewidziało żadnego specjalnego mechanizmu ostrzegania ani zgody w swoich testach online, aby upewnić się, że użytkownicy są świadomi przetwarzania ich danych zdrowotnych, które zostały uznane za szczególnie wrażliwe na RODO, i wyrazili na to zgodę.

art. 26 RODO tj. niezapewnienie formalnych ram prawnych dla operacji przetwarzania przeprowadzanych wspólnie z innym administratorem danych

Firma DOCTISSIMO realizuje przetwarzanie danych osobowych z innymi firmami, w szczególności w celu marketingu powierzchni reklamowych na stronie internetowej. Te relacje wspólnej odpowiedzialności nie zostały ujęte w żaden sformalizowany dokument, taki jak umowa.

art. 32 RODO tj. niezapewnienie bezpieczeństwa danych osobowych

Do października 2019 r. firma korzystała z protokołu komunikacyjnego "http", który nie jest bezpieczny, a następnie narażała dane na ryzyko ataków komputerowych lub naruszenia danych.

Ponadto przechowywała hasła użytkowników w niewystarczająco bezpiecznym formacie, podczas gdy umożliwiały one dostęp do przestrzeni osobistej zawierającej między innymi nazwisko, imię, datę urodzenia, adres e-mail i płeć danej osoby.

art. 82 francuskiej ustawy o ochronie danych osobowych tj. niedopełnienie obowiązków związanych z wykorzystywaniem plików cookies

CNIL zaobserwował umieszczenie reklamowego pliku cookie na urządzeniu końcowym użytkownika bez ich zgody, gdy tylko pojawią się na stronie internetowej, a także zdeponowanie dwóch reklamowych plików cookie po kliknięciu przycisku "ODRZUĆ WSZYSTKIE".

W świetle stwierdzenia powyższych nieprawidłowości francuski organ ochrony danych nałożył na DOCTISSIMO dwie grzywny:

• Grzywna w wysokości 280 000 EUR za naruszenia RODO. Grzywna ta została określona we współpracy ze wszystkimi europejskimi odpowiednikami CNIL w ramach procedury "one-stop", ponieważ strona internetowa dostępna jest dla użytkowników wszystkich państw członkowskich Unii Europejskiej.
• Druga grzywna w wysokości 100 000 EUR w odniesieniu do francuskiej ustawy o ochronie danych dotyczących plików cookie i innych modułów śledzących.

Źródło: https://www.cnil.fr/en/health-data-and-use-cookies-doctissimo-fined-eu380000

Jeżeli chcesz być informowany na bieżąco o naszych publikacjach dołącz do nas:

Facebook https://www.facebook.com/odoserwis.pl.2016/

Linkedin https://www.linkedin.com/company/odoserwis-pl/

-----------------------------------------------------

Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl