Штраф на $7 млн: FTC жёстко наказала Cerebral за слив медицинских данных

Федеральная торговая комиссия США (FTC) наложила штраф более 7 миллионов долларов на компанию Cerebral, предоставляющую телемедицинские услуги в области психического здоровья, за разглашение конфиденциальной информации пользователей третьим лицам в рекламных целях. Компания также получила отдельный запрет на будущее использование и раскрытие персональных данных клиентов в этих же целях.

FTC обвиняет Cerebral и её бывшего генерального директора Кайла Робертсона в нарушении конфиденциальности и введении в заблуждение клиентов относительно политики отмены услуг. Компания заявляла, что предоставляет “безопасные, защищённые и ненавязчивые” услуги, однако не раскрывала, что данные будут переданы третьим лицам.

По утверждениям FTC, Cerebral встроила в свои веб-сайты и приложения инструменты отслеживания, которые передавали данные почти 3,2 миллионов пользователей на такие платформы, как LinkedIn, Snapchat и TikTok. Передаваемые данные включали имена, медицинские данные, адреса, телефонные номера, даты рождения, демографическую информацию, IP-адреса, информацию о страховании и прочие сведения.

FTC также указывает, что ранее бывшие сотрудники Cerebral имели доступ к медицинским записям клиентов даже после своего увольнения из-за некомпетентности ответственных за отзыв полномочий лиц. Это продолжалось с мая по декабрь 2021 года.

Кроме того, компания обвиняется в том, что отправляла своим клиентам рекламные почтовые карточки без конвертов. На этих карточках указывались имена пациентов и информация, которая могла раскрыть их диагноз и лечение всем, кто видел эти карточки.

В соответствии с предложенным приказом, который ожидает утверждения в федеральном суде, Cerebral обязана реализовать комплексную программу конфиденциальности и безопасности данных. Компания должна также опубликовать уведомление на своём веб-сайте о приказе FTC, установить график удержания данных и удалить большую часть данных потребителей, которые не используются для лечения, оплаты или операций в сфере здравоохранения, если на это не было получено согласия пользователей.

Это дело стало частью серии мероприятий FTC против поставщиков медицинских услуг, которые в последние годы без согласия пользователей делились их высокочувствительными данными с аналитическими и социальными платформами.

Public Release.