Obowiązek informacyjny rodo

KOMPAS FORSAFE 2025/22

Kraj:

Finlandia

Data wydania decyzji:

27.05.2025 r.

Podmiot kontrolowany:

Yliopiston Apteekin

Wysokość kary (EUR):

1.100.000

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. c), f), art. 32 ust. 1, 2 RODO.

Nieprzestrzeganie ogólnych zasad przetwarzania danych.

 

Przyczyna naruszenia

Naruszenie wynikało z niekontrolowanego wykorzystania technologii śledzących w sklepie internetowym fińskiej sieci aptek Yliopiston Apteekki. Na stronie apteki wdrożono szereg narzędzi marketingowych (Google Analytics, Meta Pixel, New Relic i inne), które zbierały dane o zachowaniu użytkowników – również te dotyczące przeglądania leków na receptę i bez recepty. Dane, w tym identyfikatory użytkowników i adresy IP, były przekazywane do zewnętrznych dostawców bez odpowiedniego maskowania i bez podstawy prawnej. Z perspektywy RODO oznacza to naruszenie zasady minimalizacji i integralności danych, standardów bezpieczeństwa i przetwarzania danych szczególnej kategorii, ponieważ informacje o zamawianiu lub przeglądaniu leków pozwalają wnioskować o stanie zdrowia osoby.

 

Opis wydarzeń

  1. Zgłoszenie od naukowców – W kwietniu 2022 r. doktorant z Uniwersytetu Turku zgłosił fińskiemu organowi nadzorczemu, że w ramach badań nad usługami zdrowotnymi wykryto wyciek danych z apteki internetowej. Analiza ruchu sieciowego wykazała, że strona apteki przesyłała szczegółowe dane o przeglądanych i dodawanych do koszyka lekach (w tym na receptę) do dostawców takich jak Google i Meta.

  2. Zakres danych przesyłanych do dostawców – Narzędzia śledzące odczytywały informacje, kiedy użytkownik dodawał produkt do koszyka lub klikał przycisk zakupu, a także przekazywały adres IP, parametry urządzenia i inne identyfikatory umożliwiające powiązanie aktywności ze znaną osobą. Jeśli klient był zalogowany do konta Google lub Facebook, firmy te mogły wprost zidentyfikować go jako pacjenta apteki.

  3. Argumenty administratora – Spółka twierdziła, że nazwy leków i numery katalogowe były maskowane przy wysyłce do partnerów (zastępowano je ogólnymi określeniami), a identyfikatory produktów – fikcyjnymi numerami. Wskazano też, że we wrześniu 2022 r. wyłączono Google Analytics i piksel Meta na stronie.

  4. Ustalenia organu nadzorczego – Dochodzenie wykazało, że mimo deklarowanego maskowania w przesyłanych żądaniach znajdowały się pełne nazwy leków i ich dawki. Dane wysyłane w adresie URL oraz parametrach zapytań pozwalały identyfikować produkt, moment kliknięcia przycisku „zamawiam receptę” i ceny, co w zestawieniu z adresem IP umożliwiało jednoznaczne powiązanie zdrowotnych preferencji z konkretną osobą. Organ nadzorczy uznał, że takie informacje kwalifikują się jako dane o zdrowiu, których przetwarzanie wymaga podstawy prawnej.

  5. Decyzja i sankcje – 17 czerwca 2025 r. fiński organ nadzorczy stwierdził naruszenie art. 5 ust. 1 lit. f i art. 32 RODO. Na Yliopiston Apteekki nałożono administracyjną karę pieniężną w wysokości 1,1 mln EUR oraz wydano upomnienie. Organ wskazał, że administrator nie zapewnił odpowiedniego bezpieczeństwa danych, a wykorzystanie narzędzi śledzących powodowało transfer danych o stanie zdrowia do podmiotów komercyjnych.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Zasada minimalizacji i bezpieczeństwo – Administratorzy powinni projektować strony zgodnie z zasadą minimalizacji. Nie należy umieszczać w adresach URL lub parametrach skryptów nazw leków, numerów recept ani innych danych, które mogą ujawnić stan zdrowia. Dane o sprzedaży leków powinny być pseudonimizowane lub anonimizowane przed wysyłką. Każdy transfer danych do dostawców zewnętrznych musi odbywać się zgodnie z art. 32 RODO – zastosować szyfrowanie, kontrolę dostępu i monitoring bezpieczeństwa.

  2. Legalna podstawa przetwarzania danych szczególnej kategorii – Dane dotyczące zakupu leków należy uznać za „dane dotyczące zdrowia”, gdyż mogą ujawnić informacje o stanie zdrowia. Przetwarzanie takich danych wymaga wyraźnej zgody (art. 9 ust. 2 lit. a RODO) albo innej podstawy ustawowej. Administratorzy usług medycznych powinni rozważyć uzyskanie osobnej zgody przed przesłaniem do narzędzi analitycznych informacji o przeglądanych produktach.

  3. Transparentne i równorzędne bannery cookies – Dobre praktyki wskazują, że stosowanie przycisku „Akceptuję i przechodzę do sklepu” bez równoważnej opcji „Odrzuć wszystkie” nie jest rekomendowanym działaniem. Użytkownik musi mieć tak samo łatwą możliwość odrzucenia innych plików cookies niż niezbędne, jak ich zaakceptowania. Bannery powinny umożliwiać odrzucenie śledzenia jednym kliknięciem i nie zasłaniać treści.

  4. Unikanie zgody domniemanej – Europejska Rada Ochrony Danych podkreśla, że zgoda na cookies musi być swobodnie wyrażona; nie można uzależniać dostępu do usługi od wyrażenia zgody na śledzenie. W szczególności zakazane jest domniemanie zgody przez przewinięcie strony – takie działania nie są jednoznacznym potwierdzeniem woli użytkownika. Jeśli stosuje się model „zgoda lub opłata”, płatna wersja powinna stanowić realną alternatywę.

  5. Ograniczenie zewnętrznych narzędzi marketingowych w branży zdrowia – Operatorzy aptek internetowych i portali medycznych powinni szczególnie ostrożnie podchodzić do korzystania z marketingowych narzędzi analitycznych. Zamiast standardowych skryptów Google Analytics czy Meta Pixel warto rozważyć lokalne rozwiązania analityczne hostowane wewnętrznie lub na terenie EOG, które nie przekazują danych reklamodawcom. Jeżeli korzysta się z dostawców zewnętrznych, należy zawrzeć umowę powierzenia i zawiadomić użytkowników o możliwej wspólnej odpowiedzialności.

  6. Realizacja obowiązków informacyjnych – Zgodnie z art. 13 RODO administrator musi jasno informować użytkowników, jakie dane są gromadzone, w jakim celu, na jakiej podstawie prawnej oraz komu będą udostępniane. Informacje o zastosowanych technologiach śledzących powinny znaleźć się w polityce prywatności i na banerze cookies.

  7. Regularne audyty i ocena skutków dla ochrony danych – Przed wdrożeniem nowych narzędzi analitycznych lub marketingowych należy przeprowadzić ocenę skutków dla ochrony danych (DPIA), szczególnie gdy w grę wchodzi przetwarzanie danych zdrowotnych. W trakcie audytów technicznych należy testować, czy w zapasach HTTP/URL nie pojawiają się nazwy leków ani inne wrażliwe informacje. Wyniki ocen i decyzje powinny być dokumentowane.

  8. Szkolenie i rozwój personelu – Kluczowe jest, aby osoby odpowiedzialne za marketing, IT i przetwarzanie danych rozumiały obowiązki wynikające z RODO, ustawy o ochronie danych osobowych oraz przepisów sektorowych (np. prawa farmaceutycznego). Personel powinien być regularnie szkolony z zakresu konfiguracji narzędzi śledzących, anonimizacji danych oraz obsługi zgód, a procedury wewnętrzne powinny być weryfikowane.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. Traktorowej 170. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO