Francouzský soud potvrdil pokutu 40 milionů eur pro adtech firmu Criteo za porušení GDPR
Francouzský Conseil d'État zamítl odvolání reklamní technologické společnosti Criteo a potvrdil pokutu 40 milionů eur, kterou francouzský dozorový úřad CNIL uložil v roce 2023. Případ uzavírá více než dvouletý právní spor a přináší závažné právní závěry pro organizace zpracovávající data prostřednictvím reklamních technologií.
CNIL zjistila čtyři okruhy porušení GDPR. Criteo nebyla schopna prokázat platný souhlas pro cookies umísťované na stránkách partnerských webů – firma evidovala ID souhlasů, ale nebyla s to doložit, že souhlas skutečně byl získán za podmínek odpovídajících nařízení. Dále CNIL shledala nedostatečné informování uživatelů o zpracování jejich dat. Criteo také nevyhověla žádostem o výmaz osobních údajů v plném rozsahu – výmaz v jejích systémech proběhl pouze částečně. Konečně smlouvy o společném správcovství dat s partnerskými weby neodpovídaly požadavkům GDPR.
Conseil d'État potvrdil Criteo jako správce dat i pro cookies umísťované na třetích stranách a jako výhradního správce při dalším zpracování takto získaných dat. Právní odborníci nicméně zpochybňují metodiku soudu při výpočtu výše pokuty – soud akceptoval argumentaci CNIL opírající se o počet identifikátorů (370 milionů), aniž by bylo prokázáno, zda všechny skutečně představují osobní údaj ve smyslu GDPR.
Pro organizace z oblasti adtech i mimo ni je případ Criteo připomínkou, že dokumentace souhlasu musí být aktivní a prokazatelná – nestačí evidovat jen technické identifikátory. Odpovědnost správce dat nekončí na hranici vlastních systémů a vztahuje se i na cookies a zpracování probíhající prostřednictvím třetích stran.
Zdroj
Další články
Microsoft Patch Tuesday: 83 záplat, dva veřejně známé zero-day
Útočníci zneužívají firewally FortiGate k průnikům do sítí a krádeži přihlašovacích údajů
