Francija: 380.000 EUR kazni za Dotissimo

Francija: 380.000 EUR kazni za Dotissimo
24. 05. 2023 objavil/a Info Hiša
26. člen GDPR
32. člen GDPR
5. člen GDPR
9. člen GDPR
Francija
hramba podatkov
piškotki
zdravstveni podatki

Francoski nadzorni organ je izrekel globo upravljavca spletne strani z vsebino o zdravju in dobrem počutju zaradi neizpolnjevanja obveznosti iz GDPR in pravil o piškotkih

Odločitev je bila sprejeta 11.5.2023

Po pritožbi združenja Privacy International je francoski nadzorni organ (CNIL) izvedel štiri preiskave proti Doctissimo. Spletno mesto doctissimo.fr ponuja predvsem članke, teste, kvize in forume za razprave o zdravju in dobrem počutju za širšo javnost.

Med svojimi preiskavami je nadzorni organ opazil več kršitev, zlasti v zvezi s trajanjem hrambe podatkov, zbiranjem zdravstvenih podatkov prek spletnih testov, varnostjo podatkov in načinom, kako se piškotki nalagajo na terminal uporabnikov.

CNIL je naložil dve globi:

  • globo v višini 280.000 EUR zaradi kršitev Splošne uredbe o varstvu podatkov (GDPR). Ta globa je bila sprejeta v sodelovanju z vsemi evropskimi partnerji francoskega nadzornega organa v okviru postopka vse na enem mestu, saj ima spletna stran obiskovalce iz vseh držav članic Evropske unije;

  • globa v višini 100.000 EUR pa se nanaša na neskladnost v zvezi z uporabo piškotkov (82. člen francoskega zakona o varstvu podatkov).

Pri določitvi zneska globe je CNIL upošteval naravo in resnost kršitev, kategorije osebnih podatkov (zdravstveni podatki) in število zadevnih posameznikov ter finančno stanje podjetja. Upošteval je tudi dejstvo, da bi morala družba glede na svojo naravo in področje poslovanja, to je zagotavljanje digitalnih vsebin, povezanih z zdravjem, biti bolj pazljiva pri pridobivanju privolitev posameznikov za zbiranje njihovih zdravstvenih podatkov.

Francoski nadzorni organ je odkril štiri kršitve GDPR in kršitev francoskega zakona o varstvu podatkov s strani Doctissimo:

  • shranjevanje podatkov dlje, kot je potrebno za namene, za katere se obdelujejo -  5.1(e) člen GDPR;

  • odsotnost soglasja posameznikov za zbiranje njihovih zdravstvenih podatkov - 9. člen GDPR: upravljavec ni zagotovil nobenega mehanizma, ki bi zagotovil ustrezne informacije in podajanje soglasja za obdelavo posebnih vrst osebnih podatkov;   

  • nezagotavljanje formalnega pravnega okvira za postopke obdelave, ki se izvajajo skupaj z drugim upravljavcem podatkov - 26. člen GDPR: sporazum o skupnem upravljanju ni bil sklenjen;

  • nezagotavljanje ustrezne varnosti osebnih podatkov – 32. člen GDPR): uporaba protokola »http«, neustrezna hramba gesel in nezaščiten dostop do osebnih podatkov;

  • neizpolnjevanje obveznosti v zvezi z uporabo piškotkov (82. člen francoskega zakona o varstvu podatkov): nalaganje piškotkov še pred oddajo soglasja in pri nekaterih tudi kljub zavrnitvi soglasja.

Dostop do poročila v angleščini tukaj

Vir: EDPB

Naslovna fotografija: RawPixel