Commission Nationale de l’Informatique et des Libertés (CNIL) har utfärdat en sanktionsavgift på 380 euro mot Doctissimo för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Doctissimo driver en webbplats under samma namn, som huvudsakligen erbjuder artiklar, tester, frågesporter och diskussionsforum på temat hälsa och välbefinnande. Erbjudandet riktar sig till allmänheten.
CNIL har i sina granskningar konstaterat flera brister, särskilt när det gäller lagringstider för uppgifter, insamling av hälsouppgifter via onlinetester, säkerhet för personuppgifter och användningen av cookies på användarens terminalutrustning. Totalt konstaterade CNIL fyra överträdelser av dataskyddsförordningen.
Doctissimo lagrade exempelvis uppgifter om tester som utförts av internetanvändare i 24 månader och sedan i 3 månader efter att de slutförts. CNIL ansåg att dessa lagringsperioder var orimliga eftersom de inte uppfyllde vad som var nödvändigt hos företaget, som samlar in testdata för att låta användarna läsa testresultaten, dela dem och skapa aggregerad statistik. Företaget lagrade också uppgifter från konton som hade varit inaktiva i över tre år utan att uppgifterna anonymiserades.
Doctissimo använde inte heller någon mekanism för att hämta in ett giltigt samtycke för att säkerställa att användarna var medvetna om och samtyckte till behandlingen av deras hälsouppgifter. Vidare har Doctissimo inte klargjort förhållandet mellan företaget och andra personuppgiftsansvariga genom ett avtal vid behandling av personuppgifter. Doctissimo har exempelvis marknadsfört reklamutrymme på webbplatsen utan att ansvarsfördelningen mellan de personuppgiftsansvariga reglerats.
Doctissimo har därutöver använt kommunikationsprotokollet ”http” utan SSL-kryptering fram till oktober 2019, något som kan utsätta användarna för datorattacker eller dataläckage, eftersom tillräcklig säkerhet inte kunde garanteras.
Slutligen har Doctissimos webbplats automatiskt placerat reklamcookies på användarnas utrusning i samband med att de besökte webbplatsen, och två reklamcookies förblev aktiva även efter att användarna nekat alla cookies.
Mot bakgrund av ovanstående ansåg CNIL att Doctissimo gjort sig skyldig till överträdelser av artiklarna 5.1 (e), 5.2, 9.2, 26 och 32 GDPR. De utdömda sanktionsavgifterna bestod av två delar; 280 000 euro för överträdelser av GDPR, och 100 000 euro för överträdelser i samband med användningen av cookies.