Francúzsky úrad na ochranu údajov (CNIL) uložil spoločnosti Criteo, významnej európskej spoločnosti v oblasti online reklamy a sledovania, pokutu 40 miliónov eur za porušenie GDPR. Toto rozhodnutie vychádza zo sťažností, ktoré v decembri 2018 podali organizácie noyb a Privacy International. CNIL zistil, že spoločnosť nedodržala práva dotknutých osôb podľa GDPR a nedokázala preukázať, že získala platný súhlas. Štátna rada zamietla odvolanie spoločnosti CRITEO a potvrdila pokutu.
- Pôvodná tlačová správa CNIL(EN)
- Pôvodná sťažnosť podaná v decembri 2018 spoločnosťami noyb a Privacy International
- List CNIL adresovaný spoločnosti noyb (FR)
- Rozhodnutie Conseil d'Etat
Criteo - významný hráč v oblasti reklamných technológií. Francúzska spoločnosť Criteo poskytuje služby "behaviorálneho retargetingu" na tisícoch webových stránok. Na tento účel spoločnosť umiestňuje na webové stránky sledovacie súbory cookie s cieľom analyzovať návyky pri prehliadaní a určiť, ktoré produkty a služby si používateľ pravdepodobne kúpi. Spoločnosť má údaje o približne 370 miliónoch ľudí v Európe.
Sťažnosť viedla k ďalšiemu vyšetrovaniu. V decembri 2018, teda pred viac ako 7 rokmi, noyb a Privacy International podali sťažnosti proti spoločnosti Criteo za to, že neposkytla používateľom riadnu možnosť odvolania súhlasu. Táto sťažnosť vyvolala rozsiahle vyšetrovanie zo strany CNIL, príslušného orgánu na ochranu údajov spoločnosti Criteo. CNIL rozšíril rozsah pôsobnosti aj na ďalšie oblasti a zistil ďalšie porušenia GDPR: okrem iného nedostatočnú transparentnosť, nedodržanie práva na vymazanie a práva na prístup.
Romain Robert, bývalý právnik pre ochranu údajov v spoločnosti noyb: "Toto rozhodnutie je silným signálom pre odvetvie reklamných technológií, že za porušenie zákona budú čeliť vážnym dôsledkom."
Veľká rana pre obchodný model spoločnosti Criteo. Francúzsky úrad na ochranu údajov ukončil hlbšie vyšetrovanie obchodného modelu spoločnosti Criteo. Odhalil v ňom početné porušenia nariadenia GDPR. Keďže sa tieto porušenia týkajú veľmi veľkého počtu ľudí a zhromažďuje a spracúva sa obrovské množstvo údajov, CNIL rozhodol o značnej pokute vo výške 40 miliónov eur. Toto rozhodnutie schválili aj všetky ostatné orgány na ochranu údajov v Európe.
Aktualizácia:
Spoločnosť Criteo sa proti tomuto rozhodnutiu odvolala na Conseil d'Etat.
V marci 2026 Conseil d'Etat odvolanie zamietla a potvrdila rozhodnutie CNIL. Toto rozhodnutie prichádza v kľúčovom momente diskusie okolo návrhu legislatívnej reformy Európskej komisie nazvanej "Digital Omnibus". Návrh obsahuje novú definíciu osobných údajov, ktorá by zúžila pojem toho, čo je "osobný" údaj, pričom by závisel od subjektívnych okolností príslušného prevádzkovateľa. Toto výrazné zúženie rozsahu pôsobnosti nariadenia GDPR, ktoré by mohli využiť spoločnosti zaoberajúce sa behaviorálnym on-line sledovaním, odborníci a obhajcovia ochrany osobných údajov vo veľkej miere kritizujú. .
Vo veci predloženej Conseil d'Etat spoločnosť Criteo napadla klasifikáciu pseudonymných identifikátorov ako osobných údajov, ktoré boli priradené v súvislosti s IP adresami dotknutých osôb a inými údajmi o prehliadaní. Spoločnosť tvrdila, že nemá všetky informácie potrebné na opätovnú identifikáciu subjektu údajov na základe prideleného identifikátora. Štátna rada s tým nesúhlasila a uviedla, že údaje možno považovať za anonymizované len vtedy, ak je riziko opätovnej identifikácie dotknutej osoby "zanedbateľné, keďže takáto identifikácia je v praxi neuskutočniteľná." V prípade spoločnosti Criteo, vzhľadom na to, že účelom spracovania je ponúkať reklamy, možno pre daný identifikátor krížovo prepojiť veľmi veľké množstvo informácií. Okrem toho samotná spoločnosť Criteo potvrdila, že identifikácia určitých dotknutých osôb nie je technicky nemožná. Štátna rada sa preto domnievala, že tieto identifikátory predstavujú osobné údaje.
