Search
Close this search box.

Frankrike: Doctissimo bötfälls med 380 000 euro för flera överträdelser av GDPR

Commission Nationale de l’Informatique et des Libertés (CNIL) har bötfällt Doctissimo med 380 000 euro för överträdelser av dataskyddsförordningen (GDPR).

Av beslutet framgår att Doctissimo driver en webbplats under samma namn, som huvudsakligen erbjuder artiklar, tester, frågesporter och diskussionsforum på temat hälsa och välbefinnande. Erbjudandet riktar sig till allmänheten.

CNIL har i sina granskningar konstaterat flera brister, särskilt när det gäller lagringstider för uppgifter, insamling av hälsouppgifter via onlinetester, säkerhet för personuppgifter och användningen av cookies på användarens terminalutrustning. Totalt konstaterade CNIL fyra överträdelser av dataskyddsförordningen.

Doctissimo lagrade exempelvis uppgifter om tester som utförts av internetanvändare i 24 månader och sedan i 3 månader efter att de slutförts. CNIL ansåg att dessa lagringsperioder var orimliga eftersom de inte uppfyllde vad som var nödvändigt hos företaget, som samlar in testdata för att låta användarna läsa testresultaten, dela dem och skapa aggregerad statistik. Företaget lagrade också uppgifter från konton som hade varit inaktiva i över tre år utan att uppgifterna anonymiserades.

Doctissimo använde inte heller någon mekanism för att hämta in ett giltigt samtycke för att säkerställa att användarna var medvetna om och samtyckte till behandlingen av deras hälsouppgifter. Vidare har Doctissimo inte klargjort förhållandet mellan företaget och andra personuppgiftsansvariga genom ett avtal vid behandling av personuppgifter. Doctissimo har exempelvis marknadsfört reklamutrymme på webbplatsen utan att ansvarsfördelningen mellan de personuppgiftsansvariga reglerats.

Doctissimo har därutöver använt kommunikationsprotokollet “http” utan SSL-kryptering fram till oktober 2019, något som kan utsätta användarna för datorattacker eller dataläckage, eftersom tillräcklig säkerhet inte kunde garanteras.

Slutligen har Doctissimos webbplats automatiskt placerat reklamcookies på användarnas utrusning i samband med att de besökte webbplatsen, och två reklamcookies förblev aktiva även efter att användarna nekat alla cookies.

Mot bakgrund av ovanstående ansåg CNIL att Doctissimo gjort sig skyldig till överträdelser av artiklarna 5.1 (e), 5.2, 9.2, 26 och 32 GDPR. De utdömda sanktionsavgifterna bestod av två delar; 280 000 euro för överträdelser av dataskyddsförordningen, och 100 000 euro för överträdelser i samband med användningen av cookies.

Mer information

Myndighet: Commission Nationale de l’Informatique et des Libertés (CNIL)

Land: Frankrike

Lagrum: Art. 5 GDPR, art. 9 GDPR, art. 26 GDPR, art. 32 GDPR, art. 56 GDPR, art. 60 GDPR, art. 82 GDPR

Sanktionsavgift: 380 000 euro

Mottagare: Doctissimo

Beslutsnummer: SAN-2023-006

Beslutsdatum: 2023-05-11

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

07 MAR

AI – Introduktion till artificiell intelligens

Kursen ger dig de rättsliga förutsättningarna för utveckling, upphandling och användning av AI.

14 MAR

Cybersäkerhet - Introduktion till NIS2-direktviet

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

AI - Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.