A francia adatvédelmi hatóság (CNIL) 40 millió euróra bírságolta a Criteo-t, Európa egyik legnagyobb online hirdetési és nyomkövető cégét a GDPR megsértése miatt. A döntés a noyb és a Privacy International által 2018 decemberében benyújtott panaszok alapján született. A CNIL megállapította, hogy a vállalat nem tartotta be a GDPR szerinti érintettek jogait, és nem tudta bizonyítani, hogy érvényes hozzájárulást kapott. A Conseil d'Etat elutasította a CRITEO fellebbezését, és helybenhagyta a bírságot.
- Eredeti CNIL sajtóközlemény(EN)
- A noyb és a Privacy International által2018 decemberében benyújtott eredeti panasz
- A CNIL levele a noyb-nak (FR)
- A Conseil d'Etat határozata
Criteo - kiemelkedő ad-tech szereplő. A Criteo francia vállalat "viselkedésalapú retargeting" szolgáltatásokat nyújt több ezer weboldalon. Ennek érdekében a vállalat nyomkövető cookie-kat helyez el a weboldalakon, hogy elemezze a böngészési szokásokat, és meghatározza, hogy a felhasználó valószínűleg milyen termékeket és szolgáltatásokat fog vásárolni. A vállalat mintegy 370 millió európai emberről rendelkezik adatokkal.
A panasz további vizsgálatot eredményezett. 2018 decemberében, több mint 7 évvel ezelőtt, noyb és a Privacy International panaszt nyújtott be a Criteo ellen, amiért az nem biztosított a felhasználók számára megfelelő lehetőséget a hozzájárulás visszavonására. Ez a panasz széles körű vizsgálatot indított el a CNIL-nél, a Criteo illetékes adatvédelmi hatóságánál. A CNIL más területekre is kiterjesztette a vizsgálatot, és a GDPR további megsértését állapította meg: többek között az átláthatóság hiányát, a törléshez való jog és a hozzáféréshez való jog megsértését.
Romain Robert, az adatvédelmi jogász, aki korábban a noyb: "A döntés határozott jelzés a reklámtechnológiai ágazat számára, hogy a törvénysértés súlyos következményekkel jár."
Komoly csapás a Criteo üzleti modelljére. A francia adatvédelmi hatóság mélyreható vizsgálatot folytatott le a Criteo üzleti modelljével kapcsolatban. A vizsgálat a GDPR számos megsértését tárta fel. Mivel nagyon sok embert érintenek ezek a jogsértések, és hatalmas mennyiségű adatot gyűjtenek és dolgoznak fel, a CNIL jelentős, 40 millió eurós bírságról döntött. A határozatot az összes többi európai adatvédelmi hatóság is jóváhagyta.
Frissítés:
A Criteo fellebbezett a határozat ellen a Conseil d'Etatnál.
A Conseil d'Etat 2026 márciusában elutasította a fellebbezést, és megerősítette a CNIL határozatát. Ez a döntés az Európai Bizottság "digitális omnibusz" elnevezésű jogalkotási reformjavaslata körüli vita kulcsfontosságú pillanatában született. A javaslat a személyes adatok új fogalommeghatározását tartalmazza, amely szűkítené a "személyes" adat fogalmát, és az adott adatkezelő szubjektív körülményeitől tenné függővé. A GDPR alkalmazási körének ezt a jelentős szűkítését, amelyet a viselkedésalapú online nyomon követéssel foglalkozó vállalatok kihasználhatnak, a szakértők és az adatvédelem hívei széles körben bírálják. .
A Conseil d'Etat elé vitt ügyben a Criteo vitatta az érintettek IP-címeivel és más böngészési adatokkal kapcsolatban hozzárendelt álneves azonosítók személyes adatokká minősítését. A vállalat azzal érvelt, hogy nem rendelkezett minden olyan információval, amely ahhoz szükséges, hogy a hozzárendelt azonosító alapján újra azonosítani lehessen az érintettet. A Conseil d'Etat nem értett egyet ezzel, és kijelentette, hogy az adatok csak akkor tekinthetők anonimizáltnak, ha az érintett újbóli azonosításának kockázata "jelentéktelen, mivel az ilyen azonosítás a gyakorlatban nem kivitelezhető." A Criteo esetében, figyelembe véve, hogy az adatfeldolgozás célja a hirdetések kínálása, egy adott azonosítóhoz nagyon sok információ kereszthivatkozás készíthető. Ezenkívül maga a Criteo is megerősítette, hogy egyes érintettek azonosítása technikailag nem lehetetlen. Az Államtanács ezért úgy ítélte meg, hogy ezek az azonosítók személyes adatoknak minősülnek.
