Francuski Urząd Ochrony Danych Osobowych (CNIL) ukarał Criteo, główną firmę zajmującą się reklamą i śledzeniem online w Europie, grzywną w wysokości 40 milionów euro za naruszenie RODO. Decyzja ta opiera się na skargach złożonych przez noyb i Privacy International w grudniu 2018 roku. CNIL stwierdził, że firma nie przestrzegała praw osób, których dane dotyczą, wynikających z RODO i nie była w stanie udowodnić, że uzyskała ważną zgodę.
- Oryginalny komunikat prasowy CNIL(EN)
- Oryginalna skarga złożona w grudniu 2018 r. przez noyb i Privacy International
- Pismo CNIL do noyb (FR)
Criteo - wybitny gracz ad-tech. Francuska firma Criteo świadczy usługi "retargetingu behawioralnego" na tysiącach stron internetowych. W tym celu firma umieszcza śledzące pliki cookie na stronach internetowych w celu analizy nawyków przeglądania i określenia, które produkty i usługi użytkownik prawdopodobnie kupi. Firma posiada dane dotyczące około 370 milionów osób w Europie.
Skarga doprowadziła do dalszego dochodzenia. W grudniu 2018 r., ponad 4,5 roku temu, noyb i Privacy International złożyły skargi przeciwko Criteo za niezapewnienie użytkownikom odpowiedniej opcji wycofania zgody. Skarga ta wywołała szeroko zakrojone dochodzenie CNIL, właściwego organu ochrony danych dla Criteo. CNIL rozszerzył również zakres na inne obszary i stwierdził dodatkowe naruszenia RODO: między innymi brak przejrzystości, nieprzestrzeganie prawa do usunięcia danych i prawa dostępu do nich.
Romain Robert, prawnik zajmujący się ochroną danych w noyb: "Jesteśmy bardzo zadowoleni z decyzji wydanej przez CNIL. Jest to silny sygnał dla branży ad-tech, że będą musieli ponieść poważne konsekwencje za łamanie prawa."
Poważny cios dla modelu biznesowego Criteo. Francuski Urząd Ochrony Danych zakończył pogłębione dochodzenie w sprawie modelu biznesowego Criteo. Ujawnił on liczne naruszenia RODO. Ponieważ naruszenia te dotyczą bardzo dużej liczby osób, a gromadzone i przetwarzane są ogromne ilości danych, CNIL zdecydował się na nałożenie znacznej grzywny w wysokości 40 mln euro. Decyzja ta została również zatwierdzona przez wszystkie inne organy ochrony danych w Europie.
