Федеральная торговая комиссия США (FTC) наложила штраф более 7 миллионов долларов на компанию Cerebral, предоставляющую телемедицинские услуги в области психического здоровья, за разглашение конфиденциальной информации пользователей третьим лицам в рекламных целях. Компания также получила отдельный запрет на будущее использование и раскрытие персональных данных клиентов в этих же целях.
FTC обвиняет Cerebral и её бывшего генерального директора Кайла Робертсона в нарушении конфиденциальности и введении в заблуждение клиентов относительно политики отмены услуг. Компания заявляла, что предоставляет “безопасные, защищённые и ненавязчивые” услуги, однако не раскрывала, что данные будут переданы третьим лицам.
По утверждениям FTC, Cerebral встроила в свои веб-сайты и приложения инструменты отслеживания, которые передавали данные почти 3,2 миллионов пользователей на такие платформы, как LinkedIn, Snapchat и TikTok. Передаваемые данные включали имена, медицинские данные, адреса, телефонные номера, даты рождения, демографическую информацию, IP-адреса, информацию о страховании и прочие сведения.
FTC также указывает, что ранее бывшие сотрудники Cerebral имели доступ к медицинским записям клиентов даже после своего увольнения из-за некомпетентности ответственных за отзыв полномочий лиц. Это продолжалось с мая по декабрь 2021 года.
Кроме того, компания обвиняется в том, что отправляла своим клиентам рекламные почтовые карточки без конвертов. На этих карточках указывались имена пациентов и информация, которая могла раскрыть их диагноз и лечение всем, кто видел эти карточки.
В соответствии с предложенным приказом, который ожидает утверждения в федеральном суде, Cerebral обязана реализовать комплексную программу конфиденциальности и безопасности данных. Компания должна также опубликовать уведомление на своём веб-сайте о приказе FTC, установить график удержания данных и удалить большую часть данных потребителей, которые не используются для лечения, оплаты или операций в сфере здравоохранения, если на это не было получено согласия пользователей.
Это дело стало частью серии мероприятий FTC против поставщиков медицинских услуг, которые в последние годы без согласия пользователей делились их высокочувствительными данными с аналитическими и социальными платформами.