荷蘭最大連鎖藥妝店違反個資法被罰60萬歐元
資料來源:荷蘭個人資料保護局De Autoriteit Persoonsgegevens
來文單位:鹿特丹台灣貿易中心
更新日期:2024/08/10
荷蘭「個人資料保護局(De Autoriteit Persoonsgegevens)」對連鎖藥妝店「Kruidvat」處以 60 萬歐元的罰款!原因是該公司未經合法許可,在Kruidvat.nl的網站上放置了追蹤 cookie,在網站使用者不知情或者未經許可的情況下,違規收集了數百萬網站訪客的敏感個人資料。
在Kruidvat 網站上顯示的追蹤cookie的訊息方塊中,便直接預設選取「同意追蹤cookie」的選項,這是不允許的;而若是網站用戶要「拒絕追蹤cookie」,則必須「執行許多步驟」才能完成。個人資料保護局認為這些做法違反了歐盟數據保護法( GDPR),因為這讓用戶在選擇「拒絕追蹤Cookie」時,因為面臨較麻煩的步驟而增加了難度,意味著用戶容易被迫同意網站使用追蹤cookie,而後有權利使用處理其個人資料。
個人資料保護局指出,由於藥妝店販賣很多醫藥用品,牽涉非常敏感的資訊,例如妊娠測試、避孕藥具或治療各種疾病的藥物等等。Kruidvat 母公司 AS Watson BV 收集了網站訪客的數據,並因此能夠創建這些人的個人資料;除了訪客的位置資料之外,還包括他們造訪了哪些頁面、他們把什麼東西放進購物車,並購買了哪些產品以及點擊了哪些推薦等等資訊。這些種種資訊連結到訪客的位置(可以透過 IP 位址追蹤),便可以勾勒出網站訪客非常具體且具侵入性的個人資料。
Kruidvat連鎖藥妝店在荷蘭、比利時共有1,260家實體商店,也提供網購服務,是荷蘭最大的連鎖藥妝,而背後的母公司則是全球藥妝連鎖龍頭屈臣氏(AS Watson)。
個人資料保護局從2019 年底,開始對包括 Kruidvat 在內的多個網站進行調查,以確定它們是否符合放置追蹤 cookie 的規定。在發現 Kruidvat 的作法不符合規定後,個人資料保護局便向該公司發送了要求改善的警示信,但直至 2020年4月,該網站仍被舉報不遵守法律,於是在資料保護局再次警示下,Kruidvat 才自 2020 年 10 月起以正確方式請求客戶對於網站使用他們資訊的許可。
Kruidvat母公司屈臣氏的發言人 José Mes 表示,該公司對資料保護局認為其違反了 GDPR 法律感到「遺憾」,且認為Kruidvat違反歐盟GDPR規範只涉及2020年4月到10月的一小段時間,對於這段時間內是否存在違規行為以及違規程度,屈臣氏與資料保護局仍然存在分歧看法,因此已對罰款提出異議。
備註:鹿特丹台貿中心為利業者即時掌握商情,廣泛蒐集相關資訊供業者參考。無從查證所有訊息均屬完整、正確,讀者如需運用,應自行確認資訊之正確性。
資料來源:https://www.autoriteitpersoonsgegevens.nl/actueel/boete-van-600000-euro-voor-tracking-cookies-op-kruidvatnl