Amendă administrativă în valoare de 40 milioane de euro aplicată de către Autoritatea Franceză pentru Protecția Datelor companiei CRITEO pentru încălcarea prevederilor legale stipulate în GDPR
Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda administrativă în valoare de 40 milioane de euro aplicată de către Autoritatea Franceză pentru Protecția Datelor (CNIL) companiei CRITEO pentru încălcarea prevederilor legale stipulate în GDPR.
CRITEO este specializată în „retargeting comportamental”, care constă în urmărirea navigării utilizatorilor de Internet pentru a afișa reclame personalizate. În acest scop, compania colectează datele de navigare ale utilizatorilor de Internet datorită tracker-ului CRITEO (cookie) care este plasat pe terminalele acestora atunci când vizitează anumite site-uri web partenere CRITEO. Apoi, participă la licitații în timp real și afișează publicitate personalizată dacă a câștigat licitația.
În urma plângerilor depuse de organizațiile Privacy International și None of Your Business, CNIL a efectuat mai multe investigații asupra CRITEO.
În urma investigațiilor, CNIL a constatat cinci încălcări ale GDPR:
· Nedemonstrarea că persoana și-a dat consimțământul (articolul 7.1 din GDPR)
· Nerespectarea obligației de informare și transparență (articolele 12 și 13 din GDPR)
· Nerespectarea dreptului de acces (articolul 15.1 din GDPR)
· Nerespectarea dreptului de a retrage consimțământul și ștergerea datelor (articolele 7.3 și 17.1 din GDPR)
· Nerespectarea unui acord între operatorii asociați (articolul 26 GDPR)
În acest context, CNIL a impus o amendă de 40 de milioane de euro companiei CRITEO, iar această decizie a fost transmisă tuturor celorlalte 26 de autorități europene de supraveghere, în conformitate cu prevederile ghișeului unic instituit prin GDPR, întrucât toate erau vizate de acest caz transfrontalier și toate au aprobat-o.
CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare.