Federal Ticaret Komisyonu zorlama Kaliforniya merkezli genetik test şirketi 1Health.io, 2.432 müşteriye yaklaşık 50.000 dolar iade ödeyecek. Şirket, müşteri verilerini güvenli olmayan bir genel bulutta bıraktı ve üçüncü taraf yüklenicilerinin işleri bittikten sonra genetik materyali imha etmeleri konusunda dikkatli davranmadı.
1Health.io, resmi olarak Vitagene olarak bilinen bir şirkettir. 2020’de adını değiştirdi. Vitagene, DNA test kitleri ve sağlık raporları sattı. Teklif, bir müşterinin DNA’sının olası sağlık koşulları hakkında ne söylediğine dair daha iyi bir fikir edinebileceğiydi.
2023’te FTC, şirkete karşı bir dizi gizlilik ihlali iddiasıyla bir şikayet yayınladı. Kesin bir davaydı. Vitagene’nin web sitesi, “kaya gibi sağlam güvenlik” sunduğunu ve bir müşterinin verilerini ve DNA’sını sorumlu bir şekilde ele alacağına söz verdiğini iddia etti. Müşterinin sağlık verilerini yalnızca sınırlı durumlarda paylaşacağına, genetik örneklerini asla kimlik bilgileriyle birlikte saklamayacağına ve analiz edildikten sonra DNA örneklerini imha edeceğine söz verdi.
FTC’ye göre Vitagene bunların hiçbirini yapmadı. DNA örneklerini analiz etmekle üçüncü taraf bir şirket ilgilendi ve 1Health.io’nun şirketin örnekleri imha etmesini sağlayacak hiçbir hükmü yoktu.
“Ve 2020’de şirket, tüketicilerin verilerini paylaşabileceği üçüncü taraf türlerini geriye dönük olarak genişleterek gizlilik politikasını değiştirdi; örneğin, süpermarket zincirleri ve beslenme ve takviye üreticileri gibi; şikayete göre, daha önce şirketle kişisel verileri paylaşmış olan tüketicilere bildirimde bulunmadan veya bu tür hassas bilgileri paylaşmak için onların onayını almadan,” FTC 2023’te dedi.
Daha da kötüsü, 2.000’den fazla müşterinin kişisel verisi kolayca erişilebilen AWS kovalarında saklanıyordu. Veriler sağlık raporları, ham genetik verileri içeriyordu ve bazen müşterilerin isimleriyle birlikteydi. FTC, “Vitagene, şikayete göre bu verileri şifrelemedi, erişimi kısıtlamadı, erişimi kaydetmedi veya izlemedi veya güvenliğini sağlamak için envanterini çıkarmadı” dedi.
Geri ödemelere ek olarak, Vitagene 75.000 dolar para cezası ödedi ve FTC’ye işine dair daha yakından bir bakış sağlamak zorunda. Müşterinin açık onayı olmadan sağlık verilerini üçüncü taraflarla paylaşmasına izin verilmiyor, bu üçüncü tarafların bir sözleşmeye uymasını sağlamalı ve bir veri ihlali yaşarsa FTC’ye bildirmelidir.
FTC Tüketici Koruma Bürosu Müdürü Samuel Levine, “Gizlilik politikalarını yeniden yazarak oyunun kurallarını değiştirmeye çalışan şirketler uyarıldı” dedi. 2023’te söylendi“FTC Yasası, şirketlerin daha önce toplanan verilere tek taraflı olarak önemli gizlilik politikası değişiklikleri uygulamasını yasaklıyor.”