12,5 milliárd bírság az Amazonnak cookiek miatt

január 12, 2021
Cikkek, GDPR bírság

A Francia Adatvédelmi Hatóság (CNIL) 2020. december 7-én tette közzé, hogy 35 millió eurós (~12,5 milliárd Ft) bírsággal sújtja az Amazon Europe Core-t a cookie szabályok megsértéséért. Ugyanezen a napon tette közzé a Hatóság a Google elleni, összesen 100 millió eurós bírságait, melyekkel ebben a cikkben foglalkoztunk részletesebben.

A Hatóság 2019. december 12-e óta folytatott vizsgálatokat a cég ellen, köztük számosat online, az amazon.fr címen elérhető honlappal kapcsolatban. A vizsgálatok kiderítették, hogy amikor a felhasználók meglátogatták a kérdéses oldalt, az automatikusan sütiket telepített az eszközükre az ő hozzájárulásuk és tudtuk nélkül. Ezen automatikusan telepített sütik közül többet hirdetési célokra használt az oldal.

A Rendelet megszegése

A CNIL vizsgálóbizottsága, amely a szankcionálásért is felelős, két esetben talált bizonyítékot a cookie szabályok megszegésére.

Az első eset a már korábban említett automatikus sütik telepítése. Itt érdemes megjegyezni, hogy az oldal számos sütit telepített egyszerre a felhasználók beavatkozása nélkül és ezek közül sokat használt online hirdetések célzására. A francia szabályozás értelmében csak olyan sütik telepíthetők felhasználói beavatkozás nélkül, melyek feltétlenül szükségesek egy weboldal funkcióinak biztosításához, minden más süti telepítéséhez a felhasználó előzetes engedélye szükséges.

Szintén jogsértésként értékelte a CNIL, hogy az amazon.fr oldal meglátogatásakor a weboldal nem nyújtott teljeskörű és átlátható tájékoztatást a sütikkel kapcsolatos adatkezelésről. Az oldal első látogatáskor azzal az üzenettel fogadta a felhasználókat, hogy az oldal használatával beleegyeznek az oldalon működő sütik használatával, holott már számtalan hatóság hívta fel a figyelmet, hogy ez az üzenet önmagában nem tekinthető önkéntes hozzájárulásnak.

Az üzenetre kattintva bővebb tájékoztatást ígért az oldal, a gyakorlatban a leírás csak általánosságokat tartalmazott a telepített sütik által gyűjtött adatokról és az így megszerzett adatok felhasználási céljáról. Itt a CNIL kiemelte, hogy a figyelmeztető üzenet nem tájékoztatta a felhasználókat, hogy az oldal meglátogatásakor telepített sütiket hirdetési célokra használja az Amazon, továbbá nem adott opciót ennek visszautasítására. A cookiek telepítése automatikusan megtörtént az oldal meglátogatásakor, azonnal.

A bírság

A fent említett két szabályszegésért a CNIL 35 millió euró összegű bírság kiszabása és az ügy részleteinek nyilvánosságra hozatala mellett döntött. Döntésében felhívja rá a figyelmet, hogy 2020. szeptembere előtt az oldal minden látogató eszközére sütiket helyezett el, ami egyértelműen megfelelő jogalap nélkül történt. Ismét megjegyezte, hogy a potenciális felhasználók nem kaptak ezzel kapcsolatban elégséges tájékoztatást attól függetlenül, hogy milyen úton érték el az oldalt.

A Hatóság azt is figyelembe vette, hogy az amazon.fr oldal fontos szerepet tölt be a francia online e-kereskedelemben, naponta többmillió francia állampolgár látogatja meg, így több millió eszközére lettek telepítve a sütik kéretlenül, melyek ezt követően adatokat gyűjtöttek a böngészési szokásokról, melyet aztán arra használtak, hogy célzott hirdetéseket jelentessenek meg, minél hatékonyabban.

A CNIL említést tett arról is, hogy a közelmúltban bevezetett fejlesztések hatására ma már nem kerülnek sütik telepítésre a felhasználó tudomása nélkül. Ellenben megjegyezte, hogy az új, Amazon által bevezetett süti-banner még mindig nem nyújt világos tájékoztatást arról, hogy az oldalon használt sütik nagy része a célzott hirdetések eljuttatását segíti.

Ezzel kapcsolatban a Hatóság három hónap haladékot adott az Amazonnak, hogy gyakorlatát hozza összhangba a Rendelettel. A határidő elmulasztása esetén további, napi 100.000 euró összegű bírságot helyezett kilátásba egészen addig, amíg a cég a Rendelet szabályainak meg nem felel.

A CNIL hatásköre

Döntése során a Hatóság arra jutott, hogy illetékes eljárni az ügyben. Ebben az esetben ugyanis nem alkalmazandó a GDPR „egyablakos” eljárási mechanizmusa, mivel a sütik felhasználásának szabályozására vonatkozó szabályokat elsősorban az ePrivacy irányelv tartalmazza, melynek az implementációja a francia jogszabály 82. szakasza, és melyre a bírságot alapították.

Az NVIDIA megtanított egy neurális hálózatot, hogy újra alkossa a Pac-Man-t

Schrems II. ítélet, avagy a Privacy Shield halála (1. rész)

A Facebook beperli az Európai Bizottságot