Francouzský úřad pro ochranu osobních údajů uložil společnosti Criteo revidovanou pokutu ve výši 40 milionů eur za porušení GDPR.
Francouzský úřad pro ochranu osobních údajů uložil společnosti Criteo revidovanou pokutu ve výši 40 milionů eur za porušení GDPR.
Společnost Criteo se hodlá proti pokutě odvolat a označila ji za "značně nepřiměřenou".
Francouzskému gigantu v oblasti reklamních technologií Criteo byla udělena revidovaná pokuta ve výši 40 milionů eur za to, že nezískal souhlas uživatelů s cílenou reklamou.
Okolnosti
Daný případ se datuje do roku 2018, kdy organizace Privacy International podala formální stížnost u francouzského úřadu pro ochranu osobních údajů (CNIL) s využitím nařízení GDPR. Organizace Privacy International uvedla, že je vážně znepokojena činnostmi v oblasti zpracování údajů několika subjektů v odvětví zprostředkování údajů a reklamních technologií, mezi nimiž je i společnost Criteo. Ke stížnosti se později připojila také nezisková organizace None of Your Business (NOYB) se sídlem v Rakousku, kterou spoluzaložil právník a aktivista za ochranu soukromí Max Schrems.
Jádro problému se soustředilo na to, co organizace Privacy International označila jako "stroj na manipulaci", a to v souvislosti s tím, jak společnost Criteo používala různé techniky sledování a zpracování dat k profilování uživatelů internetu pro podrobnější cílení reklamy, například pomocí předchozí online aktivity k předvídání, které produkty by si zákazník mohl chtít koupit, což je známé pod pojmem tzv. behaviorální retargeting.
Organizace Privacy International a NOYB tvrdily, že společnost Criteo neměla pro toto sledování řádný právní základ, přičemž CNIL zahájila v roce 2020 formální vyšetřování.
V srpnu 2022 CNIL předběžně rozhodl, že společnost Criteo skutečně porušila GDPR, a uložil jí pokutu ve výši 60 milionů eur. V následujících měsících se však společnost Criteo snažila tuto částku snížit.
V souhrnném dokumentu, který byl před pár dny zveřejněn, společnost Criteo tvrdila, že její jednání nebylo úmyslné a nevedlo k žádné škodě. V dokumentu se uvádí:
Společnost se domnívá, že lepší zohlednění kritérií stanovených v čl. 83 odst. 2 obecného nařízení o ochraně osobních údajů, zejména s ohledem na neexistenci důkazů o škodě, neúmyslnou povahu porušení, opatření přijatá ke zmírnění škody, spolupráci, kterou podle svých slov prokázala s dozorovým úřadem, a kategorie dotčených osobních údajů, které představují nízkou míru zásahu do soukromí, by odůvodnilo, aby v případě, že se omezený senát rozhodne uložit pokutu, výrazně snížil částku 60 milionů eur, kterou navrhl úředník.
Společnost Criteo dodala, že původní pokuta představuje polovinu jejích příjmů a 3 % jejích celosvětových tržeb, což se "blíží zákonnému maximu" povolenému podle GDPR. Kromě toho tvrdila, že pokuta je nepřiměřená ve srovnání s jinými pokutami, které CNIL udělil například mateřské společnosti Meta společností Google a Facebook a které činily pouze 0,07 % a 0,06 % jejich celosvětových tržeb.
Zdá se tedy, že CNIL vzal stížnosti společnosti Criteo alespoň částečně v úvahu a snížil pokutu o jednu třetinu. Hlavní právní zástupce společnosti Criteo Ryan Damon však uvedl, že se společnost hodlá proti tomuto rozhodnutí odvolat, a označil ho za "značně nepřiměřené", pokud ho porovnáme s jinými údajnými porušeními v jiných odvětvích.
"Kromě toho se domníváme, že řada výkladů a aplikací GDPR ze strany CNIL není v souladu s rozsudky Evropského soudního dvora, a dokonce ani s vlastními pokyny CNIL," uvedl Damon v prohlášen.
Stanovisko
V závěrečné zprávě CNIL se přesto objevuje zdrcující obraz toho, jak společnost Criteo nedbala na ochranu soukromí, a uvádí se v ní, že zpracování údajů se týkalo "velmi velkého počtu osob" z celé Evropské unie, včetně "spotřebitelských návyků" milionů uživatelů internetu.
CNIL uvádí, že zjistil celkem pět porušení GDPR v souvislosti s reklamními aktivitami společnosti Criteo, včetně neprokázání, že subjekt údajů (tj. uživatel) dal svůj souhlas, což je upraveno v čl. 7 odst. 1 GDPR; nedodržení "povinnosti informovanosti a transparentnosti (články 12 a 13), což fakticky znamená, že společnost Criteo neinformovala o včech způsobech, jakými bude zpracovávat údaje uživatelů; nedodržení "práva na přístup" (čl. 15 odst. 1, což znamená, že společnost Criteo neposkytla uživatelům na vyžádání všechny údaje, které má k dispozici; nedodržení "práva na odvolání souhlasu a výmaz údajů" (čl. 7 odst. 1 GDPR). 3 a čl. 17 odst. 1 GDPR, což znamená, že společnost Criteo nevymazala nebo neodstranila všechny údaje uživatele, když o to požádal; a nedodržení "dohody mezi společnými správci" (článek 26), což znamená, že společnost Criteo neměla se svými partnerskými společnostmi uzavřené jasné dohody, které by stanovily úlohu každé strany a její povinnosti při správě údajů uživatelů.
CNIL ve svém závěru uvedl, že ačkoli společnost Criteo neměla k dispozici individuální jména jednotlivých uživatelů, údaje byly v některých případech "dostatečně přesné pro opětovnou identifikaci osob", což znamená, že pravděpodobně byla schopna identifikovat osoby křížovým porovnáním jinak anonymizovaných souborů údajů s veřejnými záznamy nebo kombinací dalších technik slučování údajů, aby odvodila totožnost uživatelů.
A pak je tu samozřejmě motivace společnosti Criteo s ohledem na její hlavní mechanismy vydělávání peněz.
"CNIL vzal v úvahu také obchodní model společnosti, který se opírá výhradně o její schopnost zobrazovat uživatelům internetu nejrelevantnější reklamy na podporu produktů svých zákazníků z řad inzerentů, a tedy o její schopnost shromažďovat a zpracovávat obrovské množství údajů," napsal CNIL. "CNIL se domnívá, že zpracování údajů fyzických osob bez doložení jejich platného souhlasu umožnilo společnosti nepřiměřeně zvýšit počet osob, kterých se zpracování týká, a tím i finanční příjem, který jí plyne z její role zprostředkovatele reklamy."
Reakce společnosti
Společnost Criteo však trvá na svých původních argumentech. Tvrdí, že v konečném důsledku nedošlo k žádné škodě, a zároveň poukazuje na skutečnost, že CNIL nepožadoval, aby společnost Criteo změnila některé ze svých stávajících postupů.
"Jak jsme již uvedli dříve, domníváme se, že obvinění CNIL nepředstavují riziko pro jednotlivce ani jim nezpůsobují žádnou škodu," uvedl Damon. "Společnost Criteo, která při své činnosti používá pouze pseudonymizované, přímo neidentifikovatelné a necitlivé údaje, je plně odhodlána chránit soukromí a údaje uživatelů. Rozhodnutí se týká záležitostí z minulosti a nezahrnuje žádnou povinnost společnosti Criteo měnit své současné postupy; v důsledku tohoto rozhodnutí nedojde k žádnému dopadu na úroveň služeb a výkon, které jsme schopni poskytovat našim zákazníkům. I nadále dodržujeme nejvyšší standardy v této oblasti a provozujeme plně transparentní a regulacím vyhovující globální podnikání."