Fiński organ nadzorczy nakłada karę na aptekę za uchybienia w ochronie danych w sklepie internetowym
Fiński odpowiednik UODO nałożył karę administracyjną w wysokości 1,1 miliona euro na Yliopiston Apteekki z powodu nieprawidłowości w zakresie ochrony danych osobowych wykrytych w jej sklepie internetowym, związanych z korzystaniem z usług śledzenia. Dane dotyczące korzystania przez klientów ze sklepu internetowego wyciekły do firm świadczących usługi śledzenia za pośrednictwem narzędzi analitycznych i technologii śledzenia dostępnych na stronie internetowej.
Początek sprawy
Fiński organ nadzorczy ds. ochrony danych osobowych (Data Protection Ombudsman) rozpoczął dochodzenie w sprawie praktyk Yliopiston Apteekki po tym, jak doktorant z Uniwersytetu w Turku skontaktował się z urzędem. W ramach badań nad funkcjonowaniem internetowych usług zdrowotnych, badacz przeanalizował ruch sieciowy i wykrył braki w zakresie ochrony danych
w fińskich aptekach internetowych. Fiński organ prowadzi obecnie podobne postępowania wobec innych aptek internetowych.
Kluczowe ustalenia
Yliopiston Apteekki wykorzystywała pliki cookie i inne technologie śledzące w swoim sklepie internetowym w sposób, który powodował przekazywanie danych o interakcjach użytkowników – dotyczących m.in. leków na receptę i bez recepty – bezpośrednio do firm takich jak Google i Meta. Przykładowo, dostawcy usług śledzących otrzymywali informacje o tym, kiedy klient dodał produkt do koszyka lub kliknął przycisk zakupu.
Przekazywane dane obejmowały również adresy IP użytkowników oraz inne dane identyfikujące, które mogły posłużyć do jednoznacznego rozpoznania osoby. Jeśli użytkownik był zalogowany na swoje konto Google lub Facebook w czasie korzystania z apteki internetowej, Google i Meta mogły go bezpośrednio zidentyfikować.
Decyzja
Fiński organ stwierdził, że firma naruszyła artykuły 32 oraz 5 ust. 1 lit. f RODO. Nałożył na Yliopiston Apteekki administracyjną karę pieniężną w wysokości 1,1 miliona euro. Dodatkowo wydał ostrzeżenie, ponieważ firma nie zapewniła odpowiedniego poziomu bezpieczeństwa danych osobowych generowanych i gromadzonych w związku z korzystaniem z apteki internetowej.
Postępowanie dotyczyło praktyk stosowanych przez aptekę w okresie od maja 2018 r. do września 2022 r. Firma poinformowała, że zaprzestała korzystania z technologii śledzących Google i Meta we wrześniu 2022 r. Fiński organ udzielił również wskazówek dotyczących pozostałych technologii śledzących, które apteka nadal stosuje.
