Spoločnosti Criteo bola uložená GDPR pokuta vo výške 40mil. EUR

Dňa 15.07.2023 bola francúzskym dozorným orgánom uložená spoločnosti CRITEO (ďalej len „prevádzkovateľ“) GDPR pokuta vo výške 40 mil. eur za viaceré porušenia na úseku ochrany osobných údajov. 

V zmysle publikovanej  tlačovej správy francúzskeho dozorného orgánu, prevádzkovateľ vykonáva činnosť v oblasti behaviorálneho retargetingu, ktorý spočíva v sledovaní navigácie užívateľov internetu s cieľom zobrazovania cielenej – personalizovanej reklamy. Za týmto účelom prevádzkovateľ spracúva aj osobné údaje prostredníctvom cookies, ktoré sú umiestnené na koncových zariadeniach užívateľov v prípade návštevy/prehliadania určitých webových stránok. Na základe uvedeného, prevádzkovateľ získava prehľad a následne vykonáva analýzu prehliadania webových stránok užívateľov a to s cieľom zobrazovania najviac relevantného obsahu – inzerovanej reklamy. Následne, prevádzkovateľ v prípade úspešnej ponuky, realizuje v reálnom čase zobrazenie určitých tovarov a služieb.

GDPR pokuta za porušenie viacerých skutočností v ochrane osobných údajov

Francúzsky dozorný orgán voči prevádzkovateľovi zahájil šetrenie na základe sťažností organizácií Privacy International a None of Your Business. V rámci daného šetrenia francúzsky dozorný orgán zistil nasledovné porušenia, za ktoré bola spoločnosti udelená GDPR pokuta:

• prevádzkovateľ nepreukázal udelenie súhlasu so spracúvaním osobných údajov dotknutých osôb prostredníctvom súborov cookies podľa čl. 7 ods. 1 GDPR,
• prevádzkovateľ mal voči dotknutým osobám splnenú nekompletnú informačnú povinnosť a nevedel preukázať transparentnosť informácií, oznámení voči dotknutej osobe v súlade s čl. 12 a 13 GDPR (informačná povinnosť obsahovala všeobecné, vágne výrazy, absentovali všetky relevantné účely spracúvania),
• porušenie práv dotknutých osôb na prístup k údajom podľa čl. 15 ods. 1 GDPR (poskytovanie neúplných a nezrozumiteľných informácií),
• nesúlad ohľadom uplatnenia práv dotknutých osôb v súvislosti s odvolaním ich súhlasov so spracúvaním osobných údajov podľa čl. 7 ods. 3 a 17. ods. 1 GDPR (ak si dotknutá osoba uplatnila právo na odvolanie súhlasu, prevádzkovateľ nevykonal výmaz údajov),
• prevádzkovateľ nevedel preukázať uzatvorenie dohody spoločných prevádzkovateľov podľa čl. 26 GDPR.

Francúzsky dozorný orgán vzal pri výpočte GDPR pokuty najmä nasledovné skutočnosti:

1. spracúvanie údajov veľkého množstva dotknutých osôb (spracúvanie sa týkalo 370 miliónov identifikátorov v rámci krajín EÚ),
2. spracúvanie veľkého rozsahu osobných údajov týkajúcich sa nákupného správania užívateľov internetu (napriek skutočnosti, že prevádzkovateľ nespracúval mená dotknutých osôb, dáta o nákupnom správaní boli dostačujúce za účelom re-identifikácie dotknutých osôb),
3. spracúvanie osobných údajov bez súhlasu so spracúvaním osobných údajov umožnilo prevádzkovateľovi zvýšiť množstvo dotknutých osôb, ktorých sa spracúvanie týkalo a tým aj svoje finančné príjmy ako poskytovateľa reklamných služieb.

Na základe mechanizmu one-stop shop podľa GDPR bolo predmetné rozhodnutie predložené ďalším 26-tim dozorným orgánom EÚ, nakoľko daný cezhraničný prípad sa týkal aj iných jurisdikcií.

Pokuty GDPR riešime a v prípade potreby zastupujeme klientov. Ak chcete predísť pokute, nechajte si pripraviť GDPR dokumentáciu a procesy od securion.

Získajte konkurenčnú výhodu vďaka aktívnemu prístupu k ochrane osobných údajov.

Pozrieť ponuku služieb