Przetwarzanie danych osobowych o zdrowiu bez zgody, zbyt długi okres przechowywania, archaiczne środki bezpieczeństwa danych – takie naruszenia ochrony danych były przyczyną ukarania francuskiej firmy Doctissimo. Sprawdź, czego dotyczyła decyzja wydana przez CNIL.
Francuska firma Doctissimo prowadziła serwis WWW pod adresem doctissimo.fr. Na stronie tej zamieszczała przede wszystkim artykuły, testy, quizy i fora dyskusyjne o tematyce zdrowotnej. W następstwie skargi u administratora przeprowadzono kontrolę, podczas której stwierdzono liczne naruszenia ochrony danych.
Przede wszystkim w firmie naruszono zasadę ograniczenia przechowywania (art. 5 ust. 1 lit. e RODO). Administrator przechowywał dane osobowe użytkowników serwisu znajdujące się w testach przez 24 miesiące i dodatkowe 3 miesiące po ich zakończeniu. W ocenie francuskiego organu nadzorczego (CNIL) był to zbyt długi okres względem celu przetwarzania, jakim było umożliwienie użytkownikom sprawdzenia wyników testu, udostępnienie go i sporządzenie zbiorczych statystyk.
Poważnym naruszeniem było przetwarzanie danych osobowych użytkowników bez ich zgody (art. 9 ust. 2 lit. a RODO). Nie przewidziano bowiem żadnego rozwiązania, wskutek którego można byłoby uznać, że użytkownik korzystający z testów wyraził zgodę na przetwarzanie jego danych osobowych o zdrowiu.
Administrator nie wykonał również obowiązków w zakresie współadministrowania danymi osobowymi. Firma Doctissimo była współadministratorem danych osobowych wraz z firmami marketingowymi. Mimo tego nie dokonała wspólnych uzgodnień w zakresie realizacji obowiązków RODO (art. 26).
Kolejne naruszenie polegało na niezastosowaniu adekwatnych środków bezpieczeństwa danych. Jeszcze w 2019 r. firma na swojej stronie WWW korzystała z protokołu „http”.
Francuski organ nadzorczy uznał, że korzystanie z profokołu „http” rodzi ryzyko wycieku danych osobowych użytkowników serwisu.
Firmie zarzucono też przechowywanie haseł użytkowników w formacie, który nie zapewniał odpowiedniego poziomu bezpieczeństwa. Przeczytaj także: Polityka haseł – co w niej zawrzeć
Ostatnie ze stwierdzonych uchybień dotyczyło naruszenia krajowych przepisów regulujących korzystanie z plików cookies. W efekcie CNIL wymierzył francuskiej firmie dwie kary:
280 tys. euro – za naruszenia RODO (karę wymierzono w ramach mechanizmu kompleksowej współpracy organów nadzorczych).
100 tys. euro – za nieprzestrzeganie krajowych przepisów o ochronie danych osobowych.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
