CNIL: 36 milliárd forint bírság a Google-nek cookiek miatt
A Francia Adatvédelmi Hatóság (CNIL) 2020. december 7-én jelentette be, hogy 60 millió euróra (~21,4 milliárd Ft) bírságolja a Google LLC-t, és további 40 millió euróra (~14,3 milliárd Ft) a Google Ireland Ltd.-t. A Hatóság ugyanezen a napon 35 millió euró bírságot írt ki az Amazon ellen is, melyről egy külön cikkben számolunk be.
A CNIL a bírságot a vonatkozó jogszabály (Act No. 78-17 of 6 January 1978) 82. szakaszának többszörös megszegése miatt szabta ki, mely kimondja, hogy az internetes sütik használatához és telepítéséhez az adatkezelőnek az érintettek hozzájárulására van szüksége. Vizsgálata során a Hatóság három területen talált jogsértést:
Hozzájárulás nélküli cookie “telepítés”
Amikor egy felhasználó felkereste a google.fr oldalt, az hirdetési célú sütiket helyezett el az eszközén a tudomása és hozzájárulása nélkül. A francia jogszabály 82. szakasza értelmében csak olyan sütik telepíthetők a felhasználók eszközeire kifejezett hozzájárulás nélkül, melyek elengedhetetlenül szükségesek az oldal működéséhez.
Tájékoztatás hiánya
A google.fr oldalon a felhasználókat egy süti-banner fogadta (melyről idén szintén voltak már jogi viták), ahol megtalálható volt egy rövid adatkezelési felhívás, továbbá egy „elolvasom később” és egy „elolvasom most” gomb. Maga a banner semmilyen információt nem tartalmazott azokkal a sütikkel kapcsolatban, amik már az oldalra érkezés pillanatában telepítésre kerültek a felhasználó eszközén. Szintén nem volt elérhető ezzel kapcsolatos információ az „elolvasom most” gomb megnyomását követően sem.
A hatóság ezért megállapította, hogy a francia állampolgároknak nem volt alkalma előzetesen és világosan tájékozódni az eszközeiken használt sütikről, ezért azok használatát megtagadni sem volt lehetőségük.
Hibásan működő cookie tiltakozási mechanizmus
A Google felhasználóknak lehetősége van a reklámok személyre szabását letiltani. A google.fr oldalon ehhez a funkcióhoz az „elolvasom most” gombon keresztül fértek hozzá, azonban a CNIL megállapította, hogy az egyik hirdetési célú süti ezután is aktív maradt és adatokat küldött a Google szerverének.
100.000 euró / nap
Ezen három jogsértés megállapítása után döntött a Hatóság az összesen 100 millió euró összegű bírságok kiszabása mellett. Döntésében kiemelte, hogy a Google gyakorlata nagyjából 50 millió felhasználót érintett, illetve, hogy a cég ezen sütik működtetésével jelentős haszonra tett szert.
A CNIL megjegyezte, hogy egy 2020. szeptemberi frissítést követően a google.fr oldal már nem helyez el automatikusan sütiket az oldalt meglátogató eszközökön. Az új süti-banner kapcsán viszont figyelmeztetett, hogy az továbbra sem megfelelő, mivel nem nyújt tájékoztatást a felhasználóknak azok adatkezelési céljairól, így azok nem tudnak tájékozott döntést hozni.
A szabálytalanságok kijavítására a CNIL az értesítés kézhezvételétől számítva három hónap határidőt adott a Google-nek, késedelem esetén 100.000 euró per nap további büntetéssel sújtva a mulasztó céget.
A CNIL hatásköre
Döntése során a hatóság arra jutott, hogy illetékes eljárni az ügyben. Ebben az esetben nem alkalmazandó ugyanis értelmezésük szerint a GDPR „egyablakos” eljárási mechanizmusa, mivel a sütik felhasználására és az így megvalósított adatkezelésre vonatkozó szabályokat elsősorban az ePrivacy irányelv tartalmazza, melynek az implementációja a francia jogszabály 82. szakasza, és melyre a bírságot alapították.
A CNIL álláspontja szerint a Google LLC és a Google Ireland Ltd. közösen felelősek az ügyben, mivel mindketten részt vesznek a sütik felhasználási céljainak meghatározásában.