Francouzský úřad pro ochranu osobních údajů (CNIL) uložil společnosti Criteo, významné evropské společnosti zabývající se online reklamou a sledováním, pokutu 40 milionů eur za porušení GDPR. Toto rozhodnutí vychází ze stížností, které v prosinci 2018 podaly organizace noyb a Privacy International. CNIL zjistil, že společnost nedodržela práva subjektů údajů podle GDPR a nedokázala prokázat, že získala platný souhlas. Conseil d'Etat zamítla odvolání společnosti CRITEO a potvrdila pokutu.
- Původní tisková zpráva CNIL(EN)
- Původní stížnost podaná v prosinci 2018 organizacemi noyb a Privacy International
- Dopis CNIL adresovaný společnosti noyb (FR)
- Rozhodnutí Conseil d'Etat
Criteo - významný hráč v oblasti reklamních technologií. Francouzská společnost Criteo poskytuje služby "behaviorálního retargetingu" na tisících webových stránkách. Za tímto účelem umisťuje na webové stránky sledovací soubory cookie, aby analyzovala zvyky při prohlížení stránek a určila, které produkty a služby si uživatel pravděpodobně koupí. Společnost má údaje o přibližně 370 milionech lidí v Evropě.
Stížnost vedla k dalšímu vyšetřování. V prosinci 2018, tedy před více než 7 lety, noyb a Privacy International podaly stížnosti na společnost Criteo za to, že uživatelům neposkytla řádnou možnost odvolat souhlas. Tato stížnost vyvolala rozsáhlé vyšetřování ze strany CNIL, příslušného orgánu pro ochranu údajů společnosti Criteo. CNIL rozšířil oblast působnosti i na další oblasti a zjistil další porušení GDPR: mimo jiné nedostatečnou transparentnost, nedodržení práva na výmaz a práva na přístup.
Romain Robert, bývalý právník pro ochranu osobních údajů ve společnosti noyb: "Toto rozhodnutí je silným signálem pro reklamní průmysl, že za porušování zákona bude čelit závažným důsledkům."
Velká rána pro obchodní model společnosti Criteo. Francouzský úřad pro ochranu osobních údajů uzavřel hlubší vyšetřování obchodního modelu společnosti Criteo. Odhalil četná porušení GDPR. Vzhledem k tomu, že se tato porušení týkají velmi velkého počtu osob a že jsou shromažďovány a zpracovávány obrovské objemy údajů, rozhodl CNIL o značné pokutě ve výši 40 milionů eur. Toto rozhodnutí schválily i všechny ostatní orgány pro ochranu údajů v Evropě.
Aktualizace:
Společnost Criteo se proti rozhodnutí odvolala k Conseil d'Etat.
V březnu 2026 Conseil d'Etat odvolání zamítla a potvrdila rozhodnutí CNIL. Toto rozhodnutí přichází v klíčovém okamžiku debaty kolem návrhu legislativní reformy Evropské komise nazvané "Digital Omnibus". Návrh obsahuje novou definici osobních údajů, která by zúžila pojem toho, co je "osobní" údaj, a učinila by jej závislým na subjektivních okolnostech příslušného správce. Toto výrazné omezení působnosti GDPR, které by mohly využít společnosti zabývající se behaviorálním on-line sledováním, je široce kritizováno odborníky a zastánci ochrany soukromí. .
Ve věci předložené Conseil d'Etat společnost Criteo napadla klasifikaci pseudonymních identifikátorů jako osobních údajů, které byly přiřazeny v souvislosti s IP adresami subjektů údajů a dalšími údaji o prohlížení. Společnost tvrdila, že nemá všechny informace potřebné k opětovné identifikaci subjektu údajů na základě přiděleného identifikátoru. Státní rada s tím nesouhlasila a uvedla, že údaje lze považovat za anonymizované pouze v případě, že riziko opětovné identifikace subjektu údajů je "nevýznamné, protože taková identifikace je v praxi neproveditelná." V případě společnosti Criteo lze vzhledem k tomu, že účelem zpracování je nabízet reklamy, pro daný identifikátor křížově vyhledat velmi velké množství informací. Kromě toho společnost Criteo sama potvrdila, že identifikace některých subjektů údajů není technicky nemožná. Státní rada se proto domnívala, že tyto identifikátory představují osobní údaje.
