600.000 ευρώ πρόστιμο σε ηλεκτρονικό φαρμακείο για tracking cookies χωρίς συγκατάθεση
Η ολλανδική αρχή προστασίας δεδομένων επισημαίνει πως η προσβολή στα δικαιώματα των επισκεπτών ήταν οξύτατη λόγω του ευαίσθητου χαρακτήρα των προϊόντων
Πρόστιμο 600.000 ευρώ επέβαλε η ολλανδική αρχή προστασίας δεδομένων AP στην εταιρεία που διαχειρίζεται το ηλεκτρονικό φαρμακείο Kruidvat. Το πρόστιμο επιβλήθηκε επειδή η εταιρεία παρακολουθούσε τους επισκέπτες του ιστοτόπου Kruidvat.nl μέσω tracking cookies, χωρίς ενημέρωση και χωρίς τη συγκατάθεσή τους. Με τον τρόπο αυτό, η εταιρεία συνέλεγε και επεξεργαζόταν παρανόμως ευαίσθητα προσωπικά δεδομένα εκατομμυρίων επισκεπτών του ιστοτόπου της.
Η εταιρεία AS Watson (Health & Beauty Continental Europe) B.V.,, που βρίσκεται πίσω από το Kruidvat, συνέλεγε δεδομένα των επισκεπτών του, έχοντας έτσι τη δυνατότητα να διαμορφώνει προσωπικά προφίλ των προσώπων αυτών. Εκτός από τα δεδομένα τοποθεσίας των επισκεπτών, στα δεδομένα που συλλέγονταν περιλαμβάνονταν πληροφορίες σχετικά με τις ιστοσελίδες που είχαν επισκεφθεί, τα προϊόντα που είχαν προσθέσει στο καλάθι αγορών και είχαν αγοράσει, καθώς και τις προτάσεις που είχαν πατήσει κλικ.
Οι πληροφορίες αυτές είναι ιδιαίτερα ευαίσθητες, δεδομένης της ιδιαίτερης φύσης των προϊόντων ενός φαρμακείου, όπως για παράδειγμα τεστ εγκυμοσύνης, αντισυλληπτικά και φαρμακευτικά σκευάσματα για πάσης φύσεως ασθένειες. Οι ευαίσθητες πληροφορίες αυτές, συνδυαζόμενες με την τοποθεσία (η οποία μπορούσε να εντοπιστεί μέσω της IP address) του κάθε μεμονωμένου επισκέπτη, οδηγούσαν στη διαμόρφωση ενός ιδιαίτερα αναλυτικού και άκρως παρεμβατικού προφίλ των προσώπων που επισκέπτονταν το Kruidvat.nl.
Ο πρόεδρος της ολλανδικής αρχής ανέφερε σχετικά: «Τα tracking cookies ή το tracking software επιτρέπει στις εταιρείες να παρακολουθούν τη συμπεριφορά σας στο διαδίκτυο. Κάτι τέτοιο δεν μπορεί να επιτραπεί χωρίς την άδεια και την ενημέρωση των χρηστών, διότι το τι κάνουν στο διαδίκτυο είναι άκρως προσωπικό. Μια εταιρεία μπορεί να παρακολουθεί μόνο όταν εσείς συμφωνείτε, ενώ πρέπει να έχετε και την επιλογή να αρνηθείτε την παρακολούθηση χωρίς να υποστείτε ζημία».
Tracking cookies χωρίς συγκατάθεση
Ο ιστότοπος Kruidvat.nl θα έπρεπε να ζητά τη συγκατάθεση των επισκεπτών του πριν τοποθετήσει cookies στις συσκευές τους. Ο Γενικός Κανονισμός Προστασίας Δεδομένων θέτει συγκεκριμένες προϋποθέσεις για την έγκυρη συγκατάθεση, όπως για παράδειγμα ότι αυτή πρέπει να δίνεται ελεύθερα, για συγκεκριμένες πράξεις επεξεργασίας δεδομένων, βάσει επαρκούς πληροφόρησης και χωρίς αμφιβολία ως προς το αν η συγκατάθεση αυτή έχει δοθεί.
Στην περίπτωση του cookie banner του ιστοτόπου Kruidvat.nl, τα τετραγωνίδια της συγκατάθεσης για την αποθήκευση cookies ήταν προσυμπληρωμένα by default. Παράλληλα, οι επισκέπτες που ήθελαν να αρνηθούν τη συγκατάθεση αυτή έπρεπε να ακολουθήσουν πολλαπλά βήματα προκειμένου να το πετύχουν. Η AP διαπίστωσε πως τα προσωπικά δεδομένα των επισκεπτών ετύγχαναν παράνομης επεξεργασίας.
Είχε δοθεί η ευκαιρία για διόρθωση της πρακτικής αυτής
Στα τέλη του 2019, η ολλανδική αρχή διεξήγαγε έλεγχο σε διάφορες ιστοσελίδες, μεταξύ των οποίων και το Kruidvat.nl, προκειμένου να διαπιστώσει κατά πόσον αυτές τηρούσαν τις απαιτήσεις του νόμου για την τοποθέτηση cookies. Αυτό που ειδικότερα ελέγχθηκε ήταν κατά πόσον ζητείτο η συγκατάθεση για την τοποθέτηση αυτή, καθώς και ο τρόπος που αυτό γινόταν.
Το Kruidvat.nl ήταν μεταξύ των ιστοτόπων που βρέθηκαν να μην πληρούν τις απαιτήσεις του νόμου, γεγονός για το οποίο η εταιρεία που το διαχειριζόταν έλαβε επιστολή από την AP. Τον Απρίλιο του 2020, η ολλανδική αρχή έλεγξε εκ νέου τον ιστότοπο, για να διαπιστώσει πως εξακολουθούσε να μην έχει συμμορφωθεί προς τις υποδείξεις της. Οι παραβάσεις που είχαν διαπιστωθεί διορθώθηκαν εν τέλει τον Οκτώβριο του 2020, μετά την έναρξη επίσημης έρευνας σε βάρος της εταιρείας.
Από το δελτίο τύπου της ολλανδικής αρχής προστασίας δεδομένων
