Kara za przetwarzanie danych w reklamie behawioralnej
Aż 40 mln euro – tyle wyniosła kara wymierzona francuskiej firmie Criteo, która przetwarzała dane osobowe, stosując reklamę behawioralną. W związku z rozwiązaniami przyjętymi przez Criteo doszło do licznych naruszeń RODO.
W jaki sposób firma CRITEO stosowała reklamę behawioralną
Francuska firma CRITEO śledziła aktywność użytkowników w internecie, aby na tej podstawie dokonać ich profilowania i skierować do nich spersonalizowaną reklamę. Wykorzystywała do tego pliki cookies (tracker CRITEO), który był umieszczany na urządzeniach użytkowników odwiedzających strony internetowe partnerów CRITEO. W związku z przetwarzaniem danych w ramach reklamy behawioralnej na CRITEO złożone zostało kilka skarg.
6 naruszeń RODO w związku z reklamą behawioralną
CNIL (francuski organ nadzorczy) w toku postępowania stwierdził 6 istotnych naruszeń RODO.
|
niewykazanie, że reklama behawioralna była stosowana na podstawie zgody na przetwarzanie danych (art. 7 ust. 1 RODO), |
Za gromadzenie zgód odpowiadali partnerzy firmy CRITEO. Firma nie była jednak w stanie wykazać, czy i od kogo takie zgody pozyskano. Administrator nie zadbał także o weryfikację, czy jego partnerzy prawidłowo pozyskali zgody na przetwarzanie. |
|
niespełnienie obowiązku informacyjnego i przez to naruszenie reguły przejrzystości (art. 12, 13 RODO), |
W polityce prywatności firmy nie zawarto wszystkich celów przetwarzania. Niektóre cele były zaś nieprecyzyjne. |
|
uniemożliwienie prawa dostępu do danych (art. 15 RODO). |
Informacje o przetwarzaniu danych były niekompletne. Były też trudne do zrozumienia. |
|
uniemożliwienie wycofania zgody na przetwarzanie (art. 7 ust. 3 RODO) uniemożliwienie usunięcia danych na żądanie (art. 17 RODO) |
Wskutek cofnięcia zgody na przetwarzanie danych firma jedynie zaprzestawała wyświetlania użytkownikowi spersonalizowanych reklam. Dane osobowe użytkowników nie były jednak usuwane. |
|
brak umowy pomiędzy współadministratorami (art. 26 RODO). |
Umowa pomiędzy Criteo a jej partnerami nie określała obowiązków administratorów w stosunku do wymagań przewidzianych w ROOD a mianowicie:
|
To wszystko złożyło się na wysoką karę w kwocie 40 mln euro. Stosowanie reklamy behawioralnej dotyczyło bowiem bardzo dużej liczby osób i obejmowało szeroki zakres danych osobowych.
Przeczytaj także: Reklama behawioralna w kontekście RODO
- Pracownik w delegacji – jak wygląda przekazywanie jego danych osobowych do państwa trzeciego
- Mechanizmy dochodzenia roszczeń w związku z wdrożeniem ram ochrony danych UE - USA
- Upoważnienie do przetwarzania danych osobowych czy oświadczenie o poufności
- TSUE: Identyfikator personalizacji reklam zaliczany do danych osobowych według RODO
- Kara za przetwarzanie danych osobowych w rozmowach telefonicznych bez podstawy prawnej
- Zgoda marketingowa – czy także od firmy lub instytucji
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
