380 tys. euro kary za naruszenie ochrony danych wrażliwych
Przetwarzanie danych osobowych o zdrowiu bez zgody, zbyt długi okres przechowywania, archaiczne środki bezpieczeństwa danych – takie naruszenia ochrony danych były przyczyną ukarania francuskiej firmy Doctissimo. Sprawdź, czego dotyczyła decyzja wydana przez CNIL.
Serwis Doctissimo pod lupą CNIL
Francuska firma Doctissimo prowadziła serwis WWW pod adresem doctissimo.fr. Na stronie tej zamieszczała przede wszystkim artykuły, testy, quizy i fora dyskusyjne o tematyce zdrowotnej. W następstwie skargi u administratora przeprowadzono kontrolę, podczas której stwierdzono liczne naruszenia ochrony danych.
Zbyt długi okres przechowywania danych w serwisie WWW
Przede wszystkim w firmie naruszono zasadę ograniczenia przechowywania (art. 5 ust. 1 lit. e RODO). Administrator przechowywał dane osobowe użytkowników serwisu znajdujące się w testach przez 24 miesiące i dodatkowe 3 miesiące po ich zakończeniu. W ocenie francuskiego organu nadzorczego (CNIL) był to zbyt długi okres względem celu przetwarzania, jakim było umożliwienie użytkownikom sprawdzenia wyników testu, udostępnienie go i sporządzenie zbiorczych statystyk.
Brak zgody na przetwarzanie danych wrażliwych
Poważnym naruszeniem było przetwarzanie danych osobowych użytkowników bez ich zgody (art. 9 ust. 2 lit. a RODO). Nie przewidziano bowiem żadnego rozwiązania, wskutek którego można byłoby uznać, że użytkownik korzystający z testów wyraził zgodę na przetwarzanie jego danych osobowych o zdrowiu.
Brak uzgodnień pomiędzy współadministratorami
Administrator nie wykonał również obowiązków w zakresie współadministrowania danymi osobowymi. Firma Doctissimo była współadministratorem danych osobowych wraz z firmami marketingowymi. Mimo tego nie dokonała wspólnych uzgodnień w zakresie realizacji obowiązków RODO (art. 26).
Niski poziom bezpieczeństwa w serwisie WWW
Kolejne naruszenie polegało na niezastosowaniu adekwatnych środków bezpieczeństwa danych. Jeszcze w 2019 r. firma na swojej stronie WWW korzystała z protokołu „http”.
Francuski organ nadzorczy uznał, że korzystanie z profokołu „http” rodzi ryzyko wycieku danych osobowych użytkowników serwisu.
Firmie zarzucono też przechowywanie haseł użytkowników w formacie, który nie zapewniał odpowiedniego poziomu bezpieczeństwa. Przeczytaj także: Polityka haseł – co w niej zawrzeć
Kary za naruszenie RODO i przepisów krajowych
Ostatnie ze stwierdzonych uchybień dotyczyło naruszenia krajowych przepisów regulujących korzystanie z plików cookies. W efekcie CNIL wymierzył francuskiej firmie dwie kary:
-
280 tys. euro – za naruszenia RODO (karę wymierzono w ramach mechanizmu kompleksowej współpracy organów nadzorczych).
-
100 tys. euro – za nieprzestrzeganie krajowych przepisów o ochronie danych osobowych.
- Ujawnienie danych osobowych o wynikach testu na COVID-19 – Prezes UODO cofa skargę kasacyjną
- Duży wyciek danych na chińskiej platformie sprzedażowej
- Pracownik w delegacji – jak wygląda przekazywanie jego danych osobowych do państwa trzeciego
- Mechanizmy dochodzenia roszczeń w związku z wdrożeniem ram ochrony danych UE - USA
- Upoważnienie do przetwarzania danych osobowych czy oświadczenie o poufności
- TSUE: Identyfikator personalizacji reklam zaliczany do danych osobowych według RODO
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
