Niebezpieczne ciasteczka – rekordowe kary za pliki cookies dla Google i Amazona

CNIL, francuski organ właściwy ds. ochrony danych osobowych, nałożył 7.12.2020 r. kary finansowe w wysokości 60 milionów euro na Google LLC, 40 milionów euro na Google Ireland Limited oraz 35 milionów euro na Amazon Europe Core SARL. Kara została nałożona za zapisywanie plików cookies na urządzeniach osób korzystających ze stron internetowych tych podmiotów bez uzyskania uprzedniej zgody użytkowników oraz za brak przekazania im odpowiednich informacji.

Kara została nałożona w wyniku postępowania, które wykazało, że podczas korzystania ze strony google.fr na komputerze użytkownika automatycznie zapisywały się pliki cookies służące do celów reklamowych. Pliki te zapisywały się bez żadnej dodatkowej aktywności ze strony osoby odwiedzającej google.fr.

CNIL uznał takie działanie za naruszenie art. 82 francuskiej ustawy o ochronie danych osobowych. Artykuł ten pozwala  zapisywać takie pliki na urządzeniu jedynie w przypadku uprzedniej zgody użytkownika (w przypadku, gdy pliki cookies nie są niezbędne do realizacji usługi). Powyższy przepis wdraża do francuskiego porządku prawnego przepisy Dyrektywy 2002/58/WE dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (tzw. dyrektywa ePrivacy).

Francuski organ nadzorczy zarzucił Google, iż po wejściu na stronę wyszukiwarki na dole strony wyświetlał się baner odwołujący się do polityki prywatności z dwoma przyciskami: „Przypomnij później” oraz „Dowiedz się więcej”. Zdaniem CNIL taki baner nie przekazywał odpowiednich informacji o tym, że w momencie wejścia na stronę pliki cookies automatycznie zapisywały się na urządzeniu, również po wybraniu przycisku „Dowiedz się więcej”. Zdaniem kontrolerów CNIL informacja na stronie google.fr zarówno nie zapewniała dostatecznego poinformowania użytkowników o zapisywanych plikach cookies, celu, w którym są wykorzystywane, jak i o sposobach pozwalających na ich wyłączenie. Dodatkowo stwierdzono, że nawet w przypadku, gdy użytkownik wyłączył personalizację reklam po kliknięciu przycisku „Dowiedz się więcej”, w dalszym ciągu jeden z reklamowych plików cookies zapisywał się na urządzeniu.

Na wysokość kary nałożonej na Google złożyły się trzy czynniki:

  • Rażący stopień naruszenia przepisów francuskiej ustawy o ochronie danych osobowych.
  • Zasięg naruszenia – jego skutek dotknął prawie 50 milionów użytkowników.
  • Znaczące zyski, które Google uzyskiwał za pomocą informacji zbieranych od użytkowników za pomocą plików cookies.

Podobne naruszenia stwierdzono na stronie amazon.fr  – przez samo wejście na tę stronę na urządzeniach zapisywały się duże ilości plików cookies. Informacje przekazywane użytkownikom nie były ani jasne ani kompletne. Baner wyświetlany na stronie amazon.fr zawierał następujące stwierdzenie: „Poprzez użytkowanie strony akceptujesz korzystanie z plików cookies pozwalających nam przedstawiać oferty oraz ulepszać nasze usługi. Czytaj więcej.” Zdaniem CNIL z takiej informacji jasno nie wynika, że pliki cookies zapisywane na urządzeniach służą głównie do personalizacji reklam oraz że użytkownik może je odrzucić.

Pomimo tego, że główna działalność Amazona polega na sprzedaży produktów, a nie handlu reklamami oraz zbieraniu informacji o użytkownikach jak w przypadku Google, wysokość kary jest zdaniem CNIL uzasadniona, ponieważ Amazon, dzięki stosowaniu spersonalizowanych reklam na swojej stronie mógł za pomocą plików cookies znacząco polepszyć widoczność oferowanych produktów oraz ich dopasowanie do użytkowników.

Google wyłączył automatyczne zapisywanie plików cookies na stronie google.fr dopiero we wrześniu 2020 r. Jednak w ocenie CNIL użytkownicy dalej nie są jasno informowani o celach wykorzystywania plików cookies oraz o tym, że mogą je wyłączyć. Także w przypadku Amazona, mimo wyłączenia automatycznego zapisywania się plików cookies po wejściu na stronę, zdaniem CNIL baner wyświetlany użytkownikom nie przekazuje informacji o tym, że pliki cookies służą głównie do personalizacji reklam oraz że jest możliwe ich wyłączenie.

W związku z powyższym francuski organ nadzorczy dodatkowo zobowiązał Google oraz Amazona do poprawienia treści informacji przekazywanych użytkownikom na stronach w ciągu trzech miesięcy. Po upływie tego czasu korporacje będą musiały zapłacić dodatkowo 100 000 euro za każdy dzień zwłoki.

Interesująca jest uwaga CNIL dotycząca przedmiotowej oraz miejscowej właściwości francuskiego organu do nałożenia kary na Google LLC oraz Google Ireland Limited. CNIL argumentuje, że naruszenie dotyczyło zapisywania plików cookies na urządzeniach mieszkańców Francji, zauważa także, że wprawdzie we Francji ma siedzibę jedynie spółka Google France, która zajmuje się promocją produktów oraz usług Google, jednak to Google LLC oraz Google Ireland Limited są wspólnie odpowiedzialne za określanie celów i sposobów wykorzystania plików cookies. Podobnie wygląda sytuacja w przypadku Amazona – spółka Amazon France zajmuje się promocją produktów oraz usług Amazona we Francji, jednak jest ona własnością Amazon Europe Core SARL (z siedzibą w Luksemburgu), która określa cele i sposoby wykorzystania plików cookies.

W kontekście francuskich kar nałożonych na gigantów technologicznych ciekawy jest też kontekst polski, bowiem ukarane przez francuski organ nadzorczy spółki prowadzą analogiczne strony w polskiej domenie. W Polsce sytuacja jest jednak bardziej złożona. Dyrektywa ePrivacy została wdrożona w polskim porządku prawnym w dwóch ustawach – ustawie o świadczeniu usług drogą elektroniczną oraz prawie telekomunikacyjnym. Odpowiednikiem francuskiego art. 82 ustawy o ochronie danych osobowych jest w Polsce art. 173 prawa telekomunikacyjnego. Podmiotem odpowiedzialnym za przestrzeganie przepisów prawa telekomunikacyjnego jest Prezes Urzędu Komunikacji Elektronicznej. Żeby nie było tak łatwo, ustawodawca wprowadził art. 174 prawa telekomunikacyjnego, który stanowi, że do uzyskania zgody użytkownika (na pliki cookies) stosuje się przepisy o ochronie danych osobowych. Organem odpowiedzialnym za przestrzeganie przepisów o ochronie danych osobowych jest natomiast Prezes Urzędu Ochrony Danych Osobowych. Zatem w polskim prawie przepisy regulujące pliki cookies wchodzą w zakres odpowiedzialności kilku urzędów, co dość komplikuje organom postępowanie.

Podsumowując, kary finansowe nałożone we Francji na Google oraz Amazona są sygnałem ostrzegawczym, aby regulacje dotyczące plików cookies traktować poważnie, ponieważ organy nadzorcze coraz bardziej restrykcyjnie interpretują regulacje w zakresie cookies oraz bardziej aktywnie zaczynają nakładać sankcje. Także w Polsce, pomimo niefortunnego rozdzielenia kompetencji organów administracji, istnieje ryzyko nakładania kar finansowych przez odpowiednie organy w obszarze wykorzystywania plików cookies.

Źródła:

  1. https://www.cnil.fr/en/cookies-financial-penalties-60-million-euros-against-company-google-llc-and-40-million-euros-google-ireland
  2. https://www.cnil.fr/en/cookies-financial-penalty-35-million-euros-imposed-company-amazon-europe-core

Autor

Michał Madecki

Certyfikowany Inspektor Ochrony Danych. Doświadczenie zawodowe zdobywał podczas pracy w Urzędzie Ochronie Danych Osobowych oraz kancelariach prawnych specjalizujących się w prawie ochrony danych osobowych, e-privacy, prawie własności intelektualnej, e-commerce, prawie pracy oraz obsłudze prawnej spółek handlowych. Brał udział w opiniowaniu projektów aktów prawnych z punktu widzenia przepisów dotyczących ochrony danych osobowych.