Французский гигант рекламных технологий Критео был изданный с пересмотренным штрафом в размере 40 миллионов евро (44 миллиона долларов США) за неполучение согласия пользователей на размещение целевой рекламы.
Рассматриваемый случай относится к 2018 году, когда Конфиденциальность Международная подал официальная жалоба с Национальной комиссией по информатике и свободам (CNIL), французский орган по надзору за конфиденциальностью данных, использующий Правила GDPR которая недавно была введена в Европейском союзе. Privacy International заявила, что она «серьезно обеспокоена» деятельностью по обработке данных нескольких игроков в сфере брокерских услуг и рекламных технологий, одним из которых является Criteo. Не ваше дело (НОЙБ), некоммерческая организация, базирующаяся в Австрии, соучредителями которой являются юрист и активист по защите частной жизни Макс Шремстакже позднее добавил свое имя к жалобе.
Суть проблемы заключалась в том, что Privacy International назвала «машиной для манипуляций», в сравнении с тем, как Criteo использовала различные методы отслеживания и обработки данных для профилирования интернет-пользователей с целью более детального таргетинга рекламы, например, используя предыдущую онлайн-активность для прогнозирования того, какие продукты может захотеть купить онлайн-покупатель — это известно как «поведенческий ретаргетинг.”
Privacy International и NOYB утверждают, что у Criteo не было надлежащих правовых оснований для такого отслеживания, поскольку CNIL начинает официальное расследование в 2020 году.
Предварительное решение
Перенесемся в август 2022 года, и CNIL принял предварительное решение что Criteo действительно нарушила GDPR и наложила на парижскую компанию штраф в размере €60 млн. Однако в последующие месяцы Criteo попыталась уменьшить эту цифру.
В сводный документ Criteo заявила, что ее действия были непреднамеренными и не привели к какому-либо вреду. Она заявила (перевод через DeepL):
Компания считает, что более полное рассмотрение критериев, изложенных в Статья 83(2)) GDPR, в частности, в отношении отсутствия доказательств причинения вреда, непреднамеренного характера нарушений, мер, принятых для смягчения вреда, сотрудничества, которое оно, по его словам, продемонстрировало с надзорным органом, и категорий соответствующих персональных данных, которые представляют собой низкую степень вмешательства, оправдывают то, что в случае принятия ограниченной комиссией решения о наложении штрафа она значительно сократит сумму в 60 миллионов евро, предложенную докладчиком.
Criteo добавила, что первоначальный штраф составил половину ее прибыли и 3% от ее мировых продаж, что составляет «близко к законному максимуму», разрешенному GDPR. Более того, он утверждал, что штраф был чрезмерным по сравнению с другими штрафами, наложенными CNIL на такие компании, как Google и родительская компания Facebook Meta, которые составили всего 0,07% и 0,06% от их соответствующих мировых продаж.
Таким образом, CNIL, по-видимому, обратил внимание на жалобы Criteo и сократил штраф на треть. Однако главный юридический директор Criteo Райан Дэймон говорит, что компания планирует обжаловать решение, назвав его «крайне несоразмерным» по сравнению с другими предполагаемыми нарушениями в других местах в отрасли.
«Кроме того, мы считаем, что ряд толкований и применений GDPR со стороны CNIL не соответствуют постановлениям Европейского суда и даже собственным указаниям CNIL», — сказал Дэймон в заявлении, опубликованном для TechCrunch.
Выводы
CNIL’s окончательный отчет В нем по-прежнему рисуется уничтожающая картина пренебрежения Criteo к конфиденциальности, и отмечается, что в обработке данных участвовало «очень большое количество людей» со всего Европейского Союза, включая «привычки потребления» миллионов интернет-пользователей.
В общей сложности CNIL сообщает, что обнаружила пять нарушений GDPR, связанных с деятельностью Criteo по отслеживанию рекламы, включая неспособность доказать, что субъект данных (т. е. пользователь) дал свое согласие, что подпадает под действие статья 7(1) GDPR; невыполнение «обязательства по предоставлению информации и прозрачности (статьи 12 и 13), что фактически означает, что Criteo не разгласила все способы обработки пользовательских данных; неспособность «соблюдать право доступа» (статья 15(1), что означает, что Criteo не предоставила пользователям все имеющиеся у нее данные по запросу; несоблюдение «права на отзыв согласия и удаление данных» (статьи 7.3 и 17.1 GDPR), что означает, что Criteo не удалила или не уничтожила все данные пользователя, когда они этого потребовали; и неспособность «предусмотреть соглашение между совместными контролерами» (статья 26), что означает, что у Criteo не было четких соглашений с компаниями-партнерами, в которых оговаривалась бы роль каждой стороны и их обязательства по управлению данными пользователей.
В своем заключении CNIL заявила, что, хотя у Criteo не было индивидуальных имен каждого пользователя, в некоторых случаях данные были «достаточно точными для повторной идентификации отдельных лиц», что означает, что компания, вероятно, могла идентифицировать отдельных лиц путем перекрестных ссылок на анонимные наборы данных с общедоступными записями или путем объединения других методов объединения данных для установления личности пользователей.
И, конечно же, есть слон в комнате — мотивы Criteo в отношении ее основных механизмов зарабатывания денег.
«CNIL также принял во внимание бизнес-модель компании, которая опирается исключительно на ее способность показывать интернет-пользователям наиболее релевантную рекламу для продвижения продуктов ее клиентов-рекламодателей и, таким образом, на ее способность собирать и обрабатывать огромные объемы данных», — написал CNIL. «CNIL посчитал, что обработка данных физических лиц без подтверждения их действительного согласия позволила компании неправомерно увеличить число лиц, заинтересованных в ее обработке, и, таким образом, финансовый доход, который она получает от своей роли рекламного посредника».
Однако Criteo придерживается своих первоначальных аргументов, заявляя, что в конечном итоге никакого ущерба нанесено не было, указывая при этом на тот факт, что CNIL не требовала от Criteo изменять какие-либо из ее текущих практик.
«Как мы уже заявляли ранее, мы считаем, что обвинения, выдвинутые CNIL, не несут в себе риска для отдельных лиц или какого-либо ущерба, причиненного им», — сказал Дэймон. «Criteo, которая использует в своей деятельности только псевдонимизированные, не идентифицируемые напрямую и неконфиденциальные данные, полностью привержена защите конфиденциальности и данных пользователей. Решение касается прошлых вопросов и не включает в себя никаких обязательств Criteo по изменению своей текущей практики; это решение не повлияет на уровни обслуживания и производительность, которые мы можем предоставить нашим клиентам. Мы продолжаем поддерживать самые высокие стандарты в этой области и ведем полностью прозрачный и соответствующий нормативным требованиям глобальный бизнес. На данном этапе мы не будем делать никаких дополнительных заявлений».
Эта история была обновлена комментарием Criteo.