top of page

Pozor na retargeting – jde o osobní údaje

Obrázek autora: Josef BátrlaJosef Bátrla

Jako uživatel máte jistě velké zkušenosti s retargetingem. Víte ale, že při něm dochází ke zpracování osobních údajů? Jak je to s ukládáním marketingových cookies? Pozor na to, za retargeting padla pokuta 40 milionů eur.


Další francouzská společnost musela vysvětlovat francouzskému dozorovému orgánu (CNIL), jak prostřednictvím cookies zpracovává osobní údaje, a to z pozice poskytovatele. Pokutovaným subjektem byla v tomto případě francouzská společnost Criteo SA, která se již od roku 2005 specializuje na zobrazování cílené reklamy v rámci návštěvy internetových stránek. V roce 2022 tato společnost dosáhla výnosu celkem 1,9 miliardy eur s čistým ziskem 10 milionů eur. Jen pro představu – tato společnost zaměstnávala v daném roce cca 3 tisíce zaměstnanců. Za významná porušení GDPR si však vysloužila pokutu ve výši čtyřnásobku svého zisku za rok 2022.


O co v tomto případě šlo?

CNIL obdržel několik podání vůči postupu společnosti Criteo, a to jak od sdružení Privacy International, tak i známého sdružení None of your Business (NOYB). Stížnosti směřovaly jak na zásadu zákonnosti, tak i vůči nedostatečnému výkonu práv subjektu údajů. Celá věc se týkala všech dozorových orgánů, francouzský úřad byl tedy zvolen jako vedoucí dozorový úřad, neboť hlavní sídlo společnosti Criteo je ve Francii.


Marketingové cookies

Pokud se ptáte, jak fungují marketingové cookies, nejjednodušší odpověď je, že při návštěvě stránek se vám uloží soubory cookies, které si zapamatují, co jste si prohlíželi, a podle toho vám pak ukazují reklamu. Realita je však o trochu složitější a velkou roli v ní hrají právě společnosti, jako je Criteo.


Celá věc totiž funguje tak, že Criteo zpracovává osobní údaje návštěvníků různých partnerských webů pomocí cookies, které se při návštěvách stránek ukládají do zařízení uživatele. Každému uživateli je pak prostřednictvím cookies přidělen jedinečný identifikátor (Criteo ID), který společnosti umožní rozpoznat osoby při dalších návštěvách partnerských webů. Jakmile tedy uživatel navštíví stránky partnerského e-shopu, Criteo si pomocí Criteo ID zaznamená ve své databázi jednotlivé akce uživatele, které na stránkách provedl – tedy například návštěva homepage, připojení k uživatelskému účtu, prohlížení produktu či jeho přidání do nákupního košíku. Takto firma Criteo sbírala data o uživatelích.


Teď si pojďme vysvětlit druhou část retargetingu – zobrazení reklamy. Jakmile uživatel navštíví webovou stránku partnerského vydavatele (osoba, která „pronajímá“ prostor na webových stránkách, kde různé společnosti jako Criteo „soutěží“ o prostor pro zobrazení reklamy), zašle vydavatel společnosti Criteo žádost o informace, jakou reklamu a v jakých parametrech má danému uživateli zobrazit.


Criteo pak na základě vlastních technologií určí, jaká reklama bude pro daného uživatele (o kterém ví díky Criteo ID) nejrelevantnější (díky údajům, které si společnost sesbírala z předchozí aktivity uživatele). Na základě takto provedené analýzy se pak Criteo účastní takzvané RTB aukce, tedy nabídky v reálném čase, o zobrazení reklamy na reklamní ploše vydavatele. Jakmile společnost Criteo vyhraje aukci, zobrazí se uživateli její banner.


Role společnosti Criteo je taková, že slouží jako prostředník, který partnerským společnostem (inzerentům) nabízí jejich zviditelnění a společnostem, které jsou v pozici vydavatele, „dohazuje“ jednotlivé inzerenty.


Jde o osobní údaje?

První, s čím se musel CNIL vypořádat, byla otázka, zda se vůbec jedná o zpracování osobních údajů. Na základě bodu 30 odůvodnění GDPR a judikatury SDEU (Scarlet Extended a Breyer) došel k tomu, že se o osobní údaje jedná. K tomuto závěru dospěl na základě množství a rozmanitosti shromážděných údajů a skutečnosti, že jsou všechny tyto údaje spojeny s identifikátorem – v takovém případě je dle jeho názoru možné přiměřenými prostředky znovu identifikovat osoby, kterých se osobní údaje týkají.

Marketingové cookies mohou obsahovat osobní údaje

Argumentace společnosti Criteo byla v tomto případě založena na tom, že sbírané údaje jí neumožňují přímo identifikovat konkrétního uživatele. Společnost pak trvala na tom, že totožnost je oprávněna zjistit pouze v případě, kdy uživatel požádá o přístup a společnost provede shodu Criteo ID a konkrétní osoby. Svoji obhajobu tak společnost Criteo stavěla na tom, že zpracovává pouze pseudonymizované údaje, kde je riziko pro subjekt údajů velmi nízké.


CNIL však v tomto bodě poznamenal, že rozsah sbíraných údajů byl poměrně masivní, neboť byly sbírány údaje související s identifikací osoby (například geografická poloha z IP adresy, Criteo ID, identifikátor zařízení/prohlížeče, ale i hashe e-mailových adres, které Criteo poskytovali jejich partneři), údaje související s návštěvou stránek (například historie procházení stránek, produkty přidané do košíku či interakce s reklamními bannery), ale také odvozené údaje. A právě zpracování e-mailových adres (zejména přihlášených uživatelů), jakož i IP adresa či identifikátor zařízení/prohlížeče dle CNIL svědčí o poměrně zásadní možnosti zpětné identifikace osob, která nemusí nutně probíhat jen v případě kontaktu ze strany uživatele.

Firma nezavázala své partnery k doložení získání souhlasů

Jak je to se souhlasem?

Co se CNIL nelíbilo, bylo nedodržování zásad zákonnosti. Dle CNIL totiž společnost Criteo neudělala dost pro to, aby byl od každého uživatele získán platný souhlas, a nepohlídala si, aby všichni její zapojení partneři poskytovali dané údaje na základě právního titulu. Jak totiž zjistil CNIL, mnoho partnerů souhlas nezískávalo a společnost Criteo nezavedla žádné opatření, kterým by zajistila, že souhlas bude vždy vyžadován. Ani smlouva mezi Criteo a partnery neměla obsahovat žádnou doložku, která by partnera zavazovala k poskytnutí důkazu o získaném souhlasu.


Transparentnost

Další kritika CNIL směřovala na nedostatečné informování o účelech zpracování. Samotné zásady zpracování nebyly kompletní, nezahrnovaly veškeré účely zpracování a ty, které obsahovaly, byly stanoveny vágně – takže uživatel nemohl pochopit, co se s jeho údaji bude dít.


Právo na přístup

Další selhání společnosti mělo spočívat v nedostatečném umožnění výkonu práv subjektu údajů, a to v případě práva na přístup. Společnost totiž jednak měla zpřístupňovat pouze omezený set údajů, jednak poskytla pouze tabulky s údaji, aniž by nabídla bližší informace, aby subjekty údajů mohly jednoduše porozumět obsahu.


Odvolání souhlasu a výmaz

Pokud uživatel odvolal svůj souhlas se zpracováním údajů, jediné, co společnost Criteo udělala, je to, že přestala zobrazovat uživateli předmětné reklamy. Společnost však nevymazala Criteo ID ani další informace. To však z povahy věci nesplňuje požadavky čl. 17 odst. 1 GDPR.


Společní správci

CNIL navíc v rámci svého rozhodnutí došel k závěru, že společnost Criteo a partneři jsou společní správci podle čl. 26 GDPR, přičemž předmětné smlouvy neobsahovaly veškeré údaje, které měly.


Nejvyšší možná pokuta

Za výše uvedené porušení GDPR obdržela společnost Criteo pokutu ve výši 40 milionů eur (cca 957,8 milionu korun). Důvod spočíval i v tom, že předmětné zpracování se týkalo významně velkého počtu uživatelů (celkem byly zpracovány údaje od asi 370 milionů osob) a problém byl také v rozsahu uchovávaných údajů. Ačkoliv společnost Criteo výše uvedené nedostatky opravila, vysloužila si pokutu ve výši, která odpovídá čtyřnásobku zisku společnosti za rok 2022.


コメント


bottom of page