GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Google i Amazon surowo ukarani za pliki cookie

Młotek sędziego na tle flagi Francji

Google i Amazon surowo ukarani za pliki cookie

7 grudnia br. francuski organ właściwy do spraw ochrony danych osobowych (Commission Nationale de l’Informatique et des Libertés – CNIL) nałożył ogromne kary finansowe na gigantów internetowych – Google i Amazon, za naruszenia przepisów francuskiego prawa, dotyczących korzystania z tzw. plików cookie (w skrócie – plików, które zapisują się na urządzeniu użytkownika danego serwisu internetowego). Spółka Google LLC (z siedzibą w Kalifornii) i Google Ireland Limited (z siedzibą w Irlandii) – będąca europejską centralą amerykańskiego giganta – zostali ukarani kwotami, odpowiednio, 60 000 000 i 40 000 000 euro (ok. 267 000 000 i 178 000 000 złotych). Amazon Europe Core SARL (z siedzibą w Luksemburgu) musi natomiast zapłacić karę w wysokości 35 000 000 euro (ok. 156 000 000 złotych). Grzywna nałożona na Google LLC jest dotychczas najwyższą karą nałożoną przez francuski organ nadzorczy.

Co ciekawe, kwoty te mogą jeszcze wzrosnąć. Regulator nakazał bowiem ukaranym administratorom odpowiednie zmodyfikowanie informacji wyświetlanych użytkownikom. Brak realizacji tych zobowiązań będzie kosztować ukarane spółki po kolejne 100 000 euro (ok. 444 000 złotych) za każdy dzień opóźnienia.

Samodzielne postępowanie CNIL

Francuski organ nadzorczy wydał decyzje w tych sprawach w oparciu o stwierdzenie naruszenia art. 82 francuskiej ustawy o ochronie danych osobowych (link do pełnej treści ustawy znajduje się poniżej). Przepis ten znalazł się we francuskiej ustawie wskutek wdrożenia w ustawodawstwie francuskim przepisów tzw. dyrektywy e-Privacy (Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej. W polskim systemie prawnym, dyrektywa ta została implementowana przede wszystkim w przepisach prawa telekomunikacyjnego).

Brytyjski organ w sprawie plików cookie

Warto zwrócić uwagę, że CNIL przeprowadził w tej sprawie samodzielne postępowanie. Nie wykorzystał on – wynikającego z RODO – mechanizmu współpracy (art. 60 RODO – tzw. mechanizm „one-stop shop”). W ocenie regulatora, stosownie do treści opinii EROD 5/2019 z 12 marca 2019 r. w sprawie wzajemnej zależności między dyrektywą o prywatności i łączności elektronicznej a RODO, w szczególności w zakresie właściwości, zadań i uprawnień organów ochrony danych, mechanizm ten nie miał w przedmiotowych sprawach zastosowania.

Co więcej, CNIL uznał się – stosownie do art. 3 francuskiej ustawy o ochronie danych osobowych – za organ właściwy terytorialnie do prowadzenia postępowań wobec Google LLC, Google Ireland Limited oraz Amazon Europe Core SARL. Wykorzystywanie plików cookie odbywało się bowiem – jak podkreślił regulator – w ramach działalności spółki Google France, która jest spółką córką Google LLC i Google Ireland Limited, odpowiedzialną za promocję produktów i usług giganta. Analogicznie, CNIL wskazał, że Amazon Europe Core SARL wykorzystywał pliki cookie w ramach działalności spółki Amazon France, która – tak samo jak w przypadku Google – odpowiedzialna jest za promocję produktów i usług na terytorium Francji. Francuski regulator zaznaczył również, że Google LLC i Google Ireland Limited ponoszą wspólną odpowiedzialność za ujawnione nieprawidłowości. Obie spółki określają bowiem wspólnie – w ocenie CNIL – cele i sposoby korzystania z plików cookie.

Brytyjski organ w sprawie plików cookie

Ustalenia CNIL

W toku przeprowadzonego postępowania kontrolnego francuski organ nadzorczy ustalił, że każdy użytkownik, który odwiedził witryny internetowe google.fr oraz amazon.fr musiał liczyć się z tym, że na jego komputerze automatycznie umieszczone zostaną pliki cookie do celów reklamowych. Nie wymagało to przy tym jakichkolwiek działań z jego strony. Z ustaleń CNIL wynika jednocześnie, że banery, które wyświetlały treści o charakterze reklamowym po wejściu na wyżej wskazane strony internetowe, nie zawierały wyczerpującej i jasnej informacji zarówno o celu umieszczania plików cookie na urządzeniu użytkownika, jak i o możliwych sposobach na wyrażenie sprzeciwu wobec takiej czynności. Co więcej, w przypadku gdy dana osoba wyłączyła opcję personalizacji reklam w wyszukiwarce, jeden z „reklamowych” plików cookie nadal był przechowywany na jej urządzeniu i odczytywał informacje przekazywane na serwery, do których był on przypisany. Taka sytuacja powodowała natomiast, że mechanizmy „sprzeciwu” wobec wykorzystywania plików cookie do celów reklamowych były w praktyce częściowo wadliwe.

CNIL wskazał, że w momencie wejścia na stronę internetową google.fr na dole strony wyświetlał się baner z informacją: „Przypomnienie o prywatności od Google”. Pod nim użytkownik miał do wyboru dwa przyciski: „Przypomnij później (remind me later)” oraz „Wejdź teraz (access now)”. Co ciekawe, zarówno na samym banerze informacyjnym, jak i w przypadku skorzystania z opcji „Wejdź teraz”, użytkownik nie otrzymywał jakichkolwiek informacji dotyczących plików cookie. Te natomiast zapisywały się na jego urządzeniu już w momencie wejścia na stronę internetową giganta.

Spółka z Luxemburga

Sytuacja odmiennie wyglądała w przypadku spółki z Luxemburga. Użytkownik odwiedzający stronę internetową amazon.fr otrzymywał co prawda informacje dotyczące plików cookie, niemniej były one niejasne i niekompletne. W momencie wejścia na przedmiotową stronę, użytkownikowi wyświetlała się informacja o treści: Korzystając z tej strony internetowej akceptujesz używanie przez nas plików cookie, które umożliwiają oferowanie i ulepszanie naszych usług. Czytaj więcej”. W ocenie CNIL, baner informacyjny zawierał jedynie ogólne i przybliżone informacje dotyczące celów wykorzystywania plików cookie przez spółkę Amazon. Przeciętny użytkownik – w ocenie regulatora – mógł nie zrozumieć, że pliki cookie, które zostały automatycznie umieszczone na jego komputerze, wykorzystywane będą głównie do przekazywania mu spersonalizowanych treści o charakterze reklamowym. Wyświetlone informacje w żaden sposób nie wyjaśniały również, że odwiedzająca osoba może zgłosić sprzeciw wobec wykorzystywania plików cookie na jej urządzeniu, jak również jak może tego dokonać. CNIL podkreślił, że naruszenia spółki Amazon Europe Core SARL były jeszcze bardziej oczywiste w przypadku, gdy użytkownik został automatycznie przekierowany na stronę amazon.fr po kliknięciu w reklamy opublikowane na innych witrynach internetowych. Wówczas osoba taka nie otrzymywała jakichkolwiek informacji o wykorzystywaniu plików cookie, podczas gdy na jego urządzeniu automatycznie zostały umieszczone takie pliki.

Spółki naruszyły francuską ustawę o ochronie danych osobowych

W ocenie francuskiego organu nadzorczego informacje przekazywane zarówno przez spółki Google, jak i przez Amazon Europe Core SARL, nie pozwalały użytkownikom mieszkającym na terytorium Francji uzyskać uprzedniej i wyraźnej informacji o umieszczaniu plików cookie na ich urządzeniach, jak również informacji o celach wykorzystywania takich plików oraz sposobów na sprzeciwienie się tej praktyce.

CNIL podkreślił, że zgodnie z ustawodawstwem francuskim, pliki cookie, które nie są niezbędne do realizacji usługi, mogą zostać umieszczone na urządzeniu użytkownika jedynie po otrzymaniu od niego uprzedniej zgody na takie działanie. W jego ocenie, praktyka polegająca na zapisywaniu plików cookie na urządzeniach osób odwiedzających daną stronę internetową już w momencie wejścia na nią, w każdym przypadku będzie musiała zostać uznana za sprzeczną z naturą uprzedniej zgody.

Na podstawie materiału zgromadzonego w toku postępowania kontrolnego francuski organ nadzorczy uznał, że pliki cookie, które były umieszczane na urządzeniach użytkowników wymagały uzyskania od nich uprzedniej stosownej zgody. W ocenie CNIL,  ukarani administratorzy nie spełnili wymogów określonych w art. 82 francuskiej ustawy o ochronie danych osobowych, w zakresie uzyskania takiej uprzedniej zgody użytkowników, zważywszy że przedmiotowe pliki cookie nie były niezbędne do funkcjonowania serwisów ukaranych gigantów.

Na wysokość kary wpłynęło dużo czynników

Organ nadzorczy nieco odmiennie uzasadniał wysokość poszczególnych kar nałożonych na administratorów. W odniesieniu do wyszukiwarki google.fr CNIL zauważył, że spółki Google naruszyły art. 82 francuskiej ustawy o ochronie danych osobowych w wielu aspektach. Dodatkowo podkreślił on, że wyszukiwarka google.fr jest szeroko dostępna we Francji, a nieprawidłowości związane z wykorzystywaniem plików cookie do celów reklamowych, dotknęły prawie pięćdziesiąt milionów użytkowników. Jak wynika z rozstrzygnięcia regulatora, na wysokość kar wpływ miał również fakt osiągania przez ukarane spółki ogromnych przychodów z tytułu wyświetlania reklam generowanych pośrednio z wykorzystaniem danych pozyskanych przez pliki cookie.

W odniesieniu natomiast do strony amazon.fr francuski regulator wskazał, że do momentu przeprojektowania tej strony internetowej we wrześniu br., spółka automatycznie umieszczała pliki cookie na urządzeniach użytkowników. Niestety nie przekazywała im stosownych informacji, wymaganych przez francuską ustawę o ochronie danych osobowych. Niezależnie od tego, w jaki sposób określone osoby odwiedzały witrynę administratora – w ocenie CNIL – nie były one odpowiednio informowane (w niektórych przypadkach wcale) o fakcie zainstalowania na ich urządzeniach plików cookie.

Organ nadzorczy uznał, że automatyczne i natychmiastowe przesyłanie plików cookie do tzw. urządzenia końcowego w momencie np. kliknięcia przez użytkownika w określoną reklamę oraz brak udzielenia stosownej informacji w tym zakresie, narusza prawa osób, które odwiedziły stronę administratora. CNIL podkreślił, że mimo, iż głównym przedmiotem działalności spółki Amazon jest sprzedaż towarów konsumpcyjnych, to spersonalizowane reklamy – których przygotowanie jest możliwe dzięki zastosowaniu plików cookies – pozwalają znacznie zwiększyć widoczność oferowanych produktów, w tym na innych stronach internetowych. Biorąc pod uwagę ugruntowaną pozycję witryny internetowej amazon.fr w handlu elektronicznym, miliony osób mieszkających we Francji codziennie odwiedzających tę witrynę – w ocenie CNIL – były zobowiązane do przechowywania plików cookie na swoich komputerach w celach reklamowych.

„Cookie walls” i bądź tu mądry

Poprawki niewystarczające

Warto zwrócić uwagę, że już we wrześniu br. zarówno Google LLC, Google Ireland Limited, jak i Amazon Europe Core SARL przestały automatycznie – tj. w momencie wejścia na daną stronę internetową – umieszczać na urządzeniach użytkowników plików cookie w celach reklamowych. Francuski organ nadzorczy zauważył jednak, że zaktualizowany baner informacyjny, który wyświetla się użytkownikowi po wejściu na stronę google.fr i amazon.fr w dalszym ciągu nie pozwala osobom mieszkającym we Francji w łatwy sposób zrozumieć, do jakich celów wykorzystywane są pliki cookie, jak również w jaki sposób mogą oni odmówić przesyłania im takich plików.

CNIL – poza surowym ukaraniem administratorów – nakazał im również wdrożenie odpowiednich modyfikacji treści wyświetlanych banerów informacyjnych, wyznaczając im w tym celu trzymiesięczny termin. Brak realizacji tego zobowiązania w nakreślonym terminie będzie wiązać się z nałożeniem dalszych kar finansowych w wysokości 100 000 euro (ok. 444 000 złotych) za każdy dzień opóźnienia.

Będziemy monitorować tę sprawę.

Tekst francuskiej ustawy o ochronie danych osobowych:

https://www.cnil.fr/fr/la-loi-informatique-et-libertes

Treść decyzji:
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042635706
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042635729

Źródła:
https://www.cnil.fr/en/cookies-financial-penalties-60-million-euros-against-company-google-llc-and-40-million-euros-google-ireland
https://www.cnil.fr/en/cookies-financial-penalty-35-million-euros-imposed-company-amazon-europe-core