Δεδομένα υγείας και cookies: πρόστιμο 380.000 €

Η Γαλλική Αρχή Προστασίας Δεδομένων (CNIL) επέβαλε στον ιστότοπο DOCTISSIMO πρόστιμο 380.000 ευρώ, καθώς η συμμόρφωση με τις υποχρεώσεις που απορρέουν από τον GDPR ήταν ανεπαρκής. Το πρόστιμο αφορούσε τα δεδομένα υγείας και την χρήση των cookies. Ο DOCTISSIMO προέβη στη συλλογή και χρήση των δεδομένων υγείας των υποκειμένων και η συμμόρφωση με τους κανόνες για τα cookies ήταν ανεπαρκής.

Γενικές πληροφορίες

Ο ιστότοπος DOCTISSIMO δημιουργήθηκε αρχικά για την ενημέρωση των επισκεπτών στον τομέα της υγείας. Διαθέτει τεστ, κουίζ και φόρουμ συζήτησης που αφορούν την υγεία και την ευεξία για το ευρύ κοινό. Κατόπιν καταγγελίας της ένωσης PRIVACY INTERNATIONAL, η Γαλλική Αρχή διεξήγαγε 4 έρευνες για τον DOCTISSIMO.

Κατά τη διάρκεια των ερευνών, η Γαλλική Αρχή  εντόπισε αρκετές παραβιάσεις. Συγκεκριμένα, οι παραβιάσεις αφορούσαν τον χρόνο διατήρησης δεδομένων, τη συλλογή δεδομένων υγείας μέσω online tests, την ασφάλεια των δεδομένων και τον τρόπο με τον οποίο τα cookies συλλέγουν τα δεδομένα των χρηστών.

Η Γαλλική Αρχή επέβαλε 2 πρόστιμα στον ιστότοπο DOCTISSIMO:
  • Αρχικά, επέβαλε πρόστιμο 280.000 ευρώ για παραβάσεις του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR). Το πρόστιμο αυτό λήφθηκε σε συνεργασία με όλους τους ευρωπαϊκούς ομόλογους της Γαλλικής Αρχής, διότι η ιστοσελίδα δύναται να έχει επισκέπτες από όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης.
  • Το δεύτερο πρόστιμο των 100.000 ευρώ επεβλήθη για τη μη συμμόρφωση με τη χρήση των cookies (άρθρο 82 της γαλλικής νομοθεσίας για την προστασία δεδομένων). Σε αυτήν την περίπτωση, η Γαλλική Αρχή έχει τη δικαιοδοσία να ενεργεί από μόνη της.
Κυρώσεις για παραβιάσεις

Παραβίαση της βασικής αρχής του περιορισμού της περιόδου αποθήκευσης· (Άρθρο 5.1(ε) GDPR)

Ο ιστότοπος διατηρούσε δεδομένα από τα tests που συμπλήρωναν οι χρήστες. Ο χρόνος διατήρησης των δεδομένων ανερχόταν στους 24 μήνες. Η Γαλλική Αρχή υποστήριξε ότι αυτές οι περίοδοι διατήρησης είναι υπερβολικές, διότι δεν συνάδουν με τις ανάγκες του ιστότοπου. Επιπλέον, υπήρξε διατήρηση δεδομένων των χρηστών των οποίων ο λογαριασμός ήταν ανενεργός για περισσότερο από τρία χρόνια, χωρίς καμία διαδικασία ανωνυμοποίησης.

Μη λήψη συναίνεσης των επισκεπτών για τη συλλογή των δεδομένων υγείας τους (άρθρο 9 GDPR)

Ο εν λόγω ιστότοπος δεν προέβλεπε κανέναν ειδικό μηχανισμό προειδοποίησης ή συναίνεσης στα online tests, για να διασφαλίσει τη συναίνεση των επισκεπτών για την επεξεργασία των δεδομένων υγείας τους. Σύμφωνα με την εταιρεία, η συλλογή δεδομένων υγείας αφορούσε περίπου το 5% των τεστ.

Ανεπαρκές νομικό πλαίσιο για τις ενέργειες των από κοινού υπευθύνων επεξεργασίας (άρθρο 26 GDPR)

Η εταιρεία DOCTISSIMO υλοποιεί επεξεργασία προσωπικών δεδομένων με άλλες εταιρείες, ιδίως για διαφημιστικούς σκοπούς στον ιστότοπο. Αυτές οι σχέσεις κοινής ευθύνης δεν πλαισιώθηκαν από κανένα επίσημο έγγραφο, όπως μια σύμβαση. Ειδικότερα, ένα τέτοιο έγγραφο πρέπει να αναφέρει την κατανομή των υποχρεώσεων μεταξύ των από κοινού υπευθύνων επεξεργασίας.

Μη διασφάλιση της ασφάλειας των προσωπικών δεδομένων (άρθρο 32 GDPR)

Μέχρι τον Οκτώβριο του 2019, η εταιρεία χρησιμοποιούσε ένα πρωτόκολλο επικοινωνίας «http», το οποίο δεν είναι ασφαλές. Στη συνέχεια, εξέθετε τα δεδομένα σε κίνδυνο επιθέσεων ή παραβίασης δεδομένων. Επιπλέον, διατηρούσε τους κωδικούς πρόσβασης των χρηστών σε ανεπαρκώς ασφαλή μορφή.

Μη συμμόρφωση με τις υποχρεώσεις της χρήσης των cookies (άρθρο 82 της γαλλικής νομοθεσίας περί προστασίας δεδομένων)

Η Γαλλική Αρχή παρατήρησε ότι  ο τερματικός των χρηστών υφίστατο παρακολούθηση από διαφημιστικό cookie από τη στιγμή που εισήλθαν στον ιστότοπο, χωρίς τη συγκατάθεσή τους. Περαιτέρω, διαπιστώθηκε παρακολούθηση από 2 διαφημιστικά cookies, μετά την επιλογή του κουμπιού «Απόρριψη όλων».

Συμπέρασμα:

Ο εκάστοτε Υπεύθυνος Επεξεργασίας που συλλέγει με οποιονδήποτε τρόπο προσωπικά δεδομένα, θα πρέπει να προβλέπει τη συμμόρφωση και με το υφιστάμενο νομοθετικό πλαίσιο περί προστασίας τους. Εν προκειμένω, ο Υπεύθυνος Επεξεργασίας επέλεξε την συλλογή ειδικών κατηγοριών προσωπικών δεδομένων (δεδομένα υγείας) των επισκεπτών του ιστοτόπου του με διάφορα μέσα, χωρίς όμως να πληροί καμία από τις προϋποθέσεις της εγχώριας και της κοινοτικής νομοθεσίας.

Αυτό είχε σαν αποτέλεσμα την παράνομη επεξεργασία των προσωπικών δεδομένων των Υποκειμένων και την κατ’ εξακολούθηση διακινδύνευση των θεμελιωδών δικαιωμάτων των προσώπων που επισκέπτονταν τον ιστότοπο του. Από τα πρόστιμα της Γαλλικής Αρχής προκύπτει επομένως ότι ένας ιστότοπος που παρέχει ψηφιακό περιεχόμενο σχετικό με την υγεία, θα πρέπει να  είναι συμμορφομένος πλήρως με τον GDPR, ώστε να αποτρέψει τις ενδεχόμενες παραβιάσεις των δεδομένων που συλλέγει και να προστατεύσει τα δικαιώματα των χρηστών που τον επισκέπτονται.

Πηγή:

CNIL: Health data and use of cookies: DOCTISSIMO fined €380,000/ Διαθέσιμο εδώ.

 

Περισσότερα άρθρα μπορείτε να διαβάσετε στο BLOG της εταιρείας μας

ΤΑ ΖΗΤΗΜΑΤΑ ΣΤΗΝ ΠΟΛΙΤΙΚΗ ΤΩΝ COOKIES

ΤΑ ΖΗΤΗΜΑΤΑ ΣΤΗΝ ΠΟΛΙΤΙΚΗ ΤΩΝ COOKIES

Παρά την προσπάθεια που καταβάλουν οι επιχειρήσεις για την δημιουργία των αναδυόμενων παραθύρων ενημέρωσης για τη συναίνεση των cookies, παρατηρείται αύξηση των προστίμων και των αγωγών σχετικά με την ιδιωτικότητα. Αυτό συμβαίνει, διότι οι συγκεκριμένες ενημερώσεις αποδεικνύονται ανεπαρκείς για την προστασία τόσο των πελατών όσο και των εταιρειών. Ακόμη, προκύπτουν προβλήματα, τα οποία στις περισσότερες φορές είναι εκτός του άμεσου ελέγχου τους.

Το θέμα των cookies στις επιχειρήσεις

Ειδικότερα, αναφορικά με το θέμα των cookies, πέρα από το γεγονός ότι η πλειονότητα των ανθρώπων προσπερνά γρήγορα τα αναδυόμενα παράθυρα συναίνεσης των cookies επιλέγοντας την “Αποδοχή όλων”, ουσιαστικά δεν  προστατεύονται ούτε οι επιχειρήσεις που ζητούν αυτές τις συναινέσεις ούτε οι πελάτες τους. Το κύριο πρόβλημα που συναντάται στις πιο πρόσφατες νομικές διαφορές είναι η ύπαρξη διάφορων τρόπων παρακολούθησης των καταναλωτών στο διαδίκτυο χωρίς τη χρήση των cookies.

Το ζήτημα είναι εγγενές με τον τρόπο δημιουργίας των ιστοτόπων, καθώς η πλειονότητα των επιχειρήσεων κατασκευάζουν τις ιστοσελίδες τους χρησιμοποιώντας υπηρεσίες τρίτων, όπως είναι το cloud. Αυτές οι υπηρεσίες περιλαμβάνουν εφαρμογές όπως το CRM (Διαχείριση Πελατειακών Σχέσεων), αλλά και προγράμματα παρακολούθησης επισκεψιμότητας που χρησιμοποιούνται από διαφημιστές.

Η περίπτωση του Meta Pixel

Το Meta pixel είναι η ιδανική απεικόνιση αυτού. Λειτουργεί ως ιχνηλάτης που στέλνει πληροφορίες πίσω στην εταιρεία Meta. Συγκεκριμένα, η εσφαλμένη χρήση δεδομένων του Meta Pixel στους ιστότοπους προκάλεσε παραβιάσεις δεδομένων τόσο στις ΗΠΑ όσο και σε χώρες της Ευρωπαϊκής Ένωσης. Στη περίπτωση των ΗΠΑ, υπήρξε σοβαρός αντίκτυπος σε πολυάριθμους οργανισμούς υγειονομικής περίθαλψης.

Το σύστημα υγειονομικής περίθαλψης, Advocate Aurora Health (AAH), όπου υπάγονται σε αυτό 26 νοσοκομεία των πολιτειών Wisconsin και Illinois,, ανακοίνωσε παραβίαση δεδομένων που αφορούσε τα προσωπικά δεδομένα 3.000.000 ασθενών. Η παραβίαση αυτή προκλήθηκε από την εσφαλμένη χρήση δεδομένων του Meta pixel στον ιστότοπο του AAH, όπου οι ασθενείς εγγράφονται και εισάγουν ευαίσθητα δεδομένα, όπως είναι τα δεδομένα υγείας.

Οι επιπτώσεις στην ιδιωτικότητα του ατόμου

Οι πληροφορίες που προκύπτουν από τις εφαρμογές που χρησιμοποιούν για την ορθή λειτουργεία των ιστοτόπων οι τρίτες εταιρείες (CRM κλπ.), μπορούν να χρησιμοποιηθούν από τους διαφημιστές για να προσαρμόσουν τις διαφημίσεις σε πιθανούς πελάτες και να ενημερωθούν για την αποτελεσματικότητα της εκάστοτε καμπάνιας μάρκετινγκ που κάνουν. Ωστόσο, αυτοί οι ιχνηλάτες συγκεντρώνουν επίσης συγκεκριμένα και λεπτομερή προσωπικά δεδομένα που στη συνέχεια προστίθενται σε ήδη υπάρχοντα αποθηκευμένα (portfolio) δεδομένα.

Με αυτόν τον τρόπο, όταν κάποιος επισκέπτεται έναν ιστότοπο υγειονομικής περίθαλψης, ενημερώνει παραδείγματος χάριν το Facebook για μια ιατρική πάθηση που ερευνά. Επομένως, η ιδιωτικότητα του ατόμου συγκρούεται με τις τρέχουσες τεχνικές της ψηφιακής διαφήμισης.

Συμπέρασμα

Εν κατακλείδι, δεν απαιτείται μόνο η βελτίωση της πολιτικής των cookies μέσα από τα αναδυόμενα παράθυρα συναίνεσης των προαιρετικών ιχνηλατών. Απαραίτητη είναι η εστίαση σε περαιτέρω τεχνικές από τις επιχειρήσεις, οι οποίες πρέπει να έχουν την δυνατότητα να παρατηρούν, να παρακολουθούν και να ελέγχουν τις πτυχές της εμπλοκής στον ιστότοπο που σχετίζονται με το πρόγραμμα περιήγησης, τις οποίες φαίνεται πως δεν ελέγχουν αυτήν την στιγμή.

 

Πηγές:

https://www.cpomagazine.com/cyber-security/blocking-cookies-is-insufficient/

https://www.cybersecurity-insiders.com/meta-pixel-hack-leads-to-us-healthcare-provider-data-breach-affecting-3-million-patients/

 

Top