Ranskan tietosuojaviranomainen (CNIL) määräsi Criteolle, Euroopan suurelle verkkomainonta- ja seurantayritykselle, 40 miljoonan euron sakon tietosuoja-asetuksen rikkomisesta. Päätös perustuu valituksiin, jotka noyb ja Privacy Internationalin joulukuussa 2018 tekemistä kanteluista. CNIL totesi, että yritys ei noudattanut tietosuoja-asetuksen mukaisia rekisteröidyn oikeuksia eikä pystynyt osoittamaan, että se oli saanut pätevän suostumuksen.
- Alkuperäinen CNIL:n lehdistötiedote(EN)
- Alkuperäinen kantelu, jonka noyb ja Privacy Internationaltekivät joulukuussa 2018
- CNIL:n kirje noybille (FR)
Criteo - merkittävä mainosteknologian toimija. Ranskalainen yritys Criteo tarjoaa "behavioral retargeting" -palveluja tuhansilla verkkosivustoilla. Tätä varten yritys sijoittaa seurantaevästeet verkkosivustoille analysoidakseen selaustottumuksia ja määrittää, mitä tuotteita ja palveluita käyttäjä todennäköisesti ostaa. Yrityksellä on tietoja noin 370 miljoonasta ihmisestä Euroopassa.
Kantelu johti lisätutkimuksiin. Joulukuussa 2018, yli 4,5 vuotta sitten, noyb ja Privacy International tekivät valituksia Criteosta, koska se ei tarjonnut käyttäjille asianmukaista mahdollisuutta peruuttaa suostumus. Kantelu käynnisti Criteon toimivaltaisen tietosuojaviranomaisen CNIL:n laajan tutkimuksen. CNIL laajensi tutkimuskohteensa myös muille aloille ja havaitsi muita tietosuoja-asetuksen rikkomuksia: muun muassa avoimuuden puute, poisto-oikeuden ja tiedonsaantioikeuden noudattamatta jättäminen.
Romain Robert, tietosuojalakimies noyb: "Olemme erittäin tyytyväisiä CNIL:n antamaan päätökseen. Se on vahva viesti mainosteknologiateollisuudelle siitä, että lain rikkomisesta seuraa vakavia seuraamuksia."
Merkittävä isku Criteon liiketoimintamallille. Ranskan tietosuojaviranomainen on saanut päätökseen Criteon liiketoimintamallia koskevan syvällisen tutkimuksen. Se paljasti lukuisia tietosuoja-asetuksen rikkomuksia. Koska nämä rikkomukset koskevat hyvin monia ihmisiä ja koska tietoja kerätään ja käsitellään valtavia määriä, CNIL päätti huomattavasta 40 miljoonan euron sakosta. Myös kaikki muut Euroopan tietosuojaviranomaiset hyväksyivät päätöksen.
