荷兰最大连锁药妆店违反个资法被罚60万欧元
资料来源:荷兰个人资料保护局De Autoriteit Persoonsgegevens
来文单位:鹿特丹台湾贸易中心
更新日期:2024/08/10
荷兰「个人资料保护局(De Autoriteit Persoonsgegevens)」对连锁药妆店「Kruidvat」处以 60 万欧元的罚款!原因是该公司未经合法许可,在Kruidvat.nl的网站上放置了追踪 cookie,在网站使用者不知情或者未经许可的情况下,违规收集了数百万网站访客的敏感个人资料。
在Kruidvat 网站上显示的追踪cookie的讯息方块中,便直接预设选取「同意追踪cookie」的选项,这是不允许的;而若是网站用户要「拒绝追踪cookie」,则必须「执行许多步骤」才能完成。个人资料保护局认为这些做法违反了欧盟数据保护法( GDPR),因为这让用户在选择「拒绝追踪Cookie」时,因为面临较麻烦的步骤而增加了难度,意味着用户容易被迫同意网站使用追踪cookie,而後有权利使用处理其个人资料。
个人资料保护局指出,由於药妆店贩卖很多医药用品,牵涉非常敏感的资讯,例如妊娠测试、避孕药具或治疗各种疾病的药物等等。Kruidvat 母公司 AS Watson BV 收集了网站访客的数据,并因此能够创建这些人的个人资料;除了访客的位置资料之外,还包括他们造访了哪些页面、他们把什麽东西放进购物车,并购买了哪些产品以及点击了哪些推荐等等资讯。这些种种资讯连结到访客的位置(可以透过 IP 位址追踪),便可以勾勒出网站访客非常具体且具侵入性的个人资料。
Kruidvat连锁药妆店在荷兰、比利时共有1,260家实体商店,也提供网购服务,是荷兰最大的连锁药妆,而背後的母公司则是全球药妆连锁龙头屈臣氏(AS Watson)。
个人资料保护局从2019 年底,开始对包括 Kruidvat 在内的多个网站进行调查,以确定它们是否符合放置追踪 cookie 的规定。在发现 Kruidvat 的作法不符合规定後,个人资料保护局便向该公司发送了要求改善的警示信,但直至 2020年4月,该网站仍被举报不遵守法律,於是在资料保护局再次警示下,Kruidvat 才自 2020 年 10 月起以正确方式请求客户对於网站使用他们资讯的许可。
Kruidvat母公司屈臣氏的发言人 José Mes 表示,该公司对资料保护局认为其违反了 GDPR 法律感到「遗憾」,且认为Kruidvat违反欧盟GDPR规范只涉及2020年4月到10月的一小段时间,对於这段时间内是否存在违规行为以及违规程度,屈臣氏与资料保护局仍然存在分歧看法,因此已对罚款提出异议。
备注:鹿特丹台贸中心为利业者即时掌握商情,广泛蒐集相关资讯供业者参考。无从查证所有讯息均属完整、正确,读者如需运用,应自行确认资讯之正确性。
资料来源:https://www.autoriteitpersoonsgegevens.nl/actueel/boete-van-600000-euro-voor-tracking-cookies-op-kruidvatnl