Usługi
Aktualności
RODO
Szkolenia
Wydarzenia
O nas
kontakt

Strona główna
Aktualności
Niebezpieczne ciasteczka – rekordowe kary za pliki cookies dla Google i Amazona

Niebezpieczne ciasteczka – rekordowe kary za pliki cookies dla Google i Amazona

30.12.2020
Autor: Michał Madecki
Sankcje, kary finansowe RODO

CNIL, francuski organ właściwy ds. ochrony danych osobowych, nałożył 7.12.2020 r. kary finansowe w wysokości 60 milionów euro na Google LLC, 40 milionów euro na Google Ireland Limited oraz 35 milionów euro na Amazon Europe Core SARL. Kara została nałożona za zapisywanie plików cookies na urządzeniach osób korzystających ze stron internetowych tych podmiotów bez uzyskania uprzedniej zgody użytkowników oraz za brak przekazania im odpowiednich informacji.

Kara została nałożona w wyniku postępowania, które wykazało, że podczas korzystania ze strony google.fr na komputerze użytkownika automatycznie zapisywały się pliki cookies służące do celów reklamowych. Pliki te zapisywały się bez żadnej dodatkowej aktywności ze strony osoby odwiedzającej google.fr.

CNIL uznał takie działanie za naruszenie art. 82 francuskiej ustawy o ochronie danych osobowych. Artykuł ten pozwala zapisywać takie pliki na urządzeniu jedynie w przypadku uprzedniej zgody użytkownika (w przypadku, gdy pliki cookies nie są niezbędne do realizacji usługi). Powyższy przepis wdraża do francuskiego porządku prawnego przepisy Dyrektywy 2002/58/WE dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (tzw. dyrektywa ePrivacy).

Francuski organ nadzorczy zarzucił Google, iż po wejściu na stronę wyszukiwarki na dole strony wyświetlał się baner odwołujący się do polityki prywatności z dwoma przyciskami: „Przypomnij później” oraz „Dowiedz się więcej”. Zdaniem CNIL taki baner nie przekazywał odpowiednich informacji o tym, że w momencie wejścia na stronę pliki cookies automatycznie zapisywały się na urządzeniu, również po wybraniu przycisku „Dowiedz się więcej”. Zdaniem kontrolerów CNIL informacja na stronie google.fr zarówno nie zapewniała dostatecznego poinformowania użytkowników o zapisywanych plikach cookies, celu, w którym są wykorzystywane, jak i o sposobach pozwalających na ich wyłączenie. Dodatkowo stwierdzono, że nawet w przypadku, gdy użytkownik wyłączył personalizację reklam po kliknięciu przycisku „Dowiedz się więcej”, w dalszym ciągu jeden z reklamowych plików cookies zapisywał się na urządzeniu.

Na wysokość kary nałożonej na Google złożyły się trzy czynniki:

Rażący stopień naruszenia przepisów francuskiej ustawy o ochronie danych osobowych.
Zasięg naruszenia – jego skutek dotknął prawie 50 milionów użytkowników.
Znaczące zyski, które Google uzyskiwał za pomocą informacji zbieranych od użytkowników za pomocą plików cookies.

Podobne naruszenia stwierdzono na stronie amazon.fr – przez samo wejście na tę stronę na urządzeniach zapisywały się duże ilości plików cookies. Informacje przekazywane użytkownikom nie były ani jasne ani kompletne. Baner wyświetlany na stronie amazon.fr zawierał następujące stwierdzenie: „Poprzez użytkowanie strony akceptujesz korzystanie z plików cookies pozwalających nam przedstawiać oferty oraz ulepszać nasze usługi. Czytaj więcej.” Zdaniem CNIL z takiej informacji jasno nie wynika, że pliki cookies zapisywane na urządzeniach służą głównie do personalizacji reklam oraz że użytkownik może je odrzucić.

Pomimo tego, że główna działalność Amazona polega na sprzedaży produktów, a nie handlu reklamami oraz zbieraniu informacji o użytkownikach jak w przypadku Google, wysokość kary jest zdaniem CNIL uzasadniona, ponieważ Amazon, dzięki stosowaniu spersonalizowanych reklam na swojej stronie mógł za pomocą plików cookies znacząco polepszyć widoczność oferowanych produktów oraz ich dopasowanie do użytkowników.

Google wyłączył automatyczne zapisywanie plików cookies na stronie google.fr dopiero we wrześniu 2020 r. Jednak w ocenie CNIL użytkownicy dalej nie są jasno informowani o celach wykorzystywania plików cookies oraz o tym, że mogą je wyłączyć. Także w przypadku Amazona, mimo wyłączenia automatycznego zapisywania się plików cookies po wejściu na stronę, zdaniem CNIL baner wyświetlany użytkownikom nie przekazuje informacji o tym, że pliki cookies służą głównie do personalizacji reklam oraz że jest możliwe ich wyłączenie.

W związku z powyższym francuski organ nadzorczy dodatkowo zobowiązał Google oraz Amazona do poprawienia treści informacji przekazywanych użytkownikom na stronach w ciągu trzech miesięcy. Po upływie tego czasu korporacje będą musiały zapłacić dodatkowo 100 000 euro za każdy dzień zwłoki.

Interesująca jest uwaga CNIL dotycząca przedmiotowej oraz miejscowej właściwości francuskiego organu do nałożenia kary na Google LLC oraz Google Ireland Limited. CNIL argumentuje, że naruszenie dotyczyło zapisywania plików cookies na urządzeniach mieszkańców Francji, zauważa także, że wprawdzie we Francji ma siedzibę jedynie spółka Google France, która zajmuje się promocją produktów oraz usług Google, jednak to Google LLC oraz Google Ireland Limited są wspólnie odpowiedzialne za określanie celów i sposobów wykorzystania plików cookies. Podobnie wygląda sytuacja w przypadku Amazona – spółka Amazon France zajmuje się promocją produktów oraz usług Amazona we Francji, jednak jest ona własnością Amazon Europe Core SARL (z siedzibą w Luksemburgu), która określa cele i sposoby wykorzystania plików cookies.

W kontekście francuskich kar nałożonych na gigantów technologicznych ciekawy jest też kontekst polski, bowiem ukarane przez francuski organ nadzorczy spółki prowadzą analogiczne strony w polskiej domenie. W Polsce sytuacja jest jednak bardziej złożona. Dyrektywa ePrivacy została wdrożona w polskim porządku prawnym w dwóch ustawach – ustawie o świadczeniu usług drogą elektroniczną oraz prawie telekomunikacyjnym. Odpowiednikiem francuskiego art. 82 ustawy o ochronie danych osobowych jest w Polsce art. 173 prawa telekomunikacyjnego. Podmiotem odpowiedzialnym za przestrzeganie przepisów prawa telekomunikacyjnego jest Prezes Urzędu Komunikacji Elektronicznej. Żeby nie było tak łatwo, ustawodawca wprowadził art. 174 prawa telekomunikacyjnego, który stanowi, że do uzyskania zgody użytkownika (na pliki cookies) stosuje się przepisy o ochronie danych osobowych. Organem odpowiedzialnym za przestrzeganie przepisów o ochronie danych osobowych jest natomiast Prezes Urzędu Ochrony Danych Osobowych. Zatem w polskim prawie przepisy regulujące pliki cookies wchodzą w zakres odpowiedzialności kilku urzędów, co dość komplikuje organom postępowanie.

Podsumowując, kary finansowe nałożone we Francji na Google oraz Amazona są sygnałem ostrzegawczym, aby regulacje dotyczące plików cookies traktować poważnie, ponieważ organy nadzorcze coraz bardziej restrykcyjnie interpretują regulacje w zakresie cookies oraz bardziej aktywnie zaczynają nakładać sankcje. Także w Polsce, pomimo niefortunnego rozdzielenia kompetencji organów administracji, istnieje ryzyko nakładania kar finansowych przez odpowiednie organy w obszarze wykorzystywania plików cookies.

Źródła:

https://www.cnil.fr/en/cookies-financial-penalties-60-million-euros-against-company-google-llc-and-40-million-euros-google-ireland
https://www.cnil.fr/en/cookies-financial-penalty-35-million-euros-imposed-company-amazon-europe-core

Autor

Michał Madecki

Certyfikowany Inspektor Ochrony Danych. Doświadczenie zawodowe zdobywał podczas pracy w Urzędzie Ochronie Danych Osobowych oraz kancelariach prawnych specjalizujących się w prawie ochrony danych osobowych, e-privacy, prawie własności intelektualnej, e-commerce, prawie pracy oraz obsłudze prawnej spółek handlowych. Brał udział w opiniowaniu projektów aktów prawnych z punktu widzenia przepisów dotyczących ochrony danych osobowych.

Z tej samej kategorii

Realizacja prawa dostępu do danych osobowych według EROD Więcej

Profilowanie na Danych Osobowych Więcej

Sztuczna inteligencja w objęciach prawa unijnego. Główne problemy regulacyjne w czasie inkubacyjnym. Więcej

Prezes Urzędu Ochrony Danych Osobowych – wybór, kompetencje i wyzwania na 2024 r. Więcej

COLD MAILING W KONTEKŚCIE ADMINISTRATORA DANYCH OSOBOWYCH I PROCESORA Więcej

Zasady naczelne RODO Więcej

Dokumentacja z zakresu ochrony danych osobowych Więcej

Kodeksy postępowania na gruncie RODO i ich znaczenie Więcej

Naruszenie ochrony danych w świetle wytycznych Europejskiej Rady Ochrony Danych Więcej

Technologia rozpoznawania twarzy w obszarze ochrony porządku publicznego – wytyczne Europejskiej Rady Ochrony Danych Więcej

WSZYSTKIE Z KATEGORII

Kategorie

analizy
Cyberbezpieczeństwo
definicje i pojęcia w RODO
inspektor ochrony danych
obowiązki administratora danych
organ nadzorczy
powierzanie danych
prawa podmiotów danych
przekazywanie danych poza EOG
roczny plan kontroli UODO
RODO w IT
Sankcje, kary finansowe RODO

Ta strona wykorzystuje pliki cookie, należące do nas lub do osób trzecich, do celów wydajności i służą reklamom zgodnym z Twoimi preferencjami dotyczącymi przeglądania, które mogą być dla Ciebie interesujące. Aby dowiedzieć się więcej o tym, jak używamy plików cookie lub zmienić preferencje dotyczące plików cookie, kliknij na "Ustawienia plików cookie". Możesz w każdej chwili zmienić te ustawienia odwiedzając naszą politykę cookies i postępując zgodnie z zawartymi w niej instrukcjami. Klikając na "Zaakceptuj wszystkie pliki cookie" wyrażasz zgodę na przechowywanie plików cookie w swoim urządzeniu.

Polityka plików cookie Ustawienia plików cookie Zaakceptuj wszystkie pliki cookie

Zarządzaj zgodami

Pliki cookie i inne technologie na tej stronie

Proszę zdecydować, czy ta strona może korzystać z plików cookie lub innych technologii, takich jak sygnały nawigacyjne w sieci web, znaczniki pikseli i obiekty Flash („Pliki cookie”), jak opisano poniżej. Więcej informacji na temat korzystania z plików cookie i związanych z nimi technologii można znaleźć w naszej polityce prywatności, do której odsyła poniższy link.

Polityka Prywatności

Funkcjonalne pliki cookie

Te pliki cookie umożliwiają nam analizę korzystania z witryny przez użytkownika w celu oceny i poprawy jej wydajności. Mogą one być również wykorzystywane do zapewnienia lepszej obsługi klienta na tej stronie. Na przykład: do zapamiętywania danych do logowania, zapisywania informacji o tym, co znajduje się w koszyku lub dostarczania nam informacji o sposobach korzystania z naszej witryny.

Pomiar wydajności

Te pliki cookie umożliwiają nam zliczanie wizyt i źródeł ruchu, dzięki czemu możemy mierzyć i poprawiać wydajność naszej witryny. Pomagają one ustalić, które strony są najbardziej i najmniej popularne i zobaczyć, jak odwiedzający poruszają się po stronie. Wszystkie informacje zbierane przez te pliki cookie są agregowane i tym samym anonimowe. Jeśli użytkownik nie zezwoli na stosowanie tych plików cookie, nie będziemy wiedzieć, kiedy odwiedził naszą stronę internetową.

Reklamowe pliki cookie

Te pliki cookie są wykorzystywane do wyświetlania reklam, które są bardziej dopasowane do użytkownika. Możemy dzielić się tymi informacjami z reklamodawcami lub wykorzystywać je w celu lepszego zrozumienia zainteresowań użytkownika. Reklamowe pliki cookie mogą być na przykład wykorzystywane do udostępniania danych reklamodawcom, tak aby reklamy, które widzi użytkownik były do niego bardziej dopasowane, aby mógł on udostępniać niektóre strony na portalach społecznościowych lub zamieszczać komentarze na naszej stronie.

Wymagane pliki cookie

Te pliki cookie są niezbędne, aby umożliwić korzystanie z podstawowych funkcji witryny, takich jak zapewnienie bezpiecznego logowania lub zapamiętywanie, na jakim etapie składania zamówienia jest użytkownik.

SAVE & ACCEPT

RODOradar.pl - Wszystko o RODO

Wychodząc naprzeciw trudnościom i wątpliwościom, jakie stwarza wdrażanie przepisów prawa ochrony danych osobowych, stworzyliśmy serwis, którego celem jest dostarczanie wiedzy i wskazówek pomocnych przy wdrażaniu RODO w organizacjach.

Potrzebujesz pomocy we wdrożeniu przepisów RODO w swojej organizacji?

SKONTAKTUJ SIĘ Z NAMI

Nawigacja

Aktualności
Tekst GDPR/RODO
O nas
Szkolenia
Wydarzenia
Regulamin
Polityka prywatności

Blog

O przetwarzaniu danych w badaniu klinicznym
Udostępnienie czy powierzenie przetwarzania danych osobowych?
Formularz kontaktowy a RODO
RODO a nowe prawo kosmetyczne
Dane biometryczne w pracy
Ochrona medycznych danych osobowych

Czytaj dalej >>