Den franska dataskyddsmyndigheten Commission Nationale de l’Informatique et des Libertés (“CNIL”) har bötfällt Amazon Europe Core med 35 miljoner euro för olaglig användning av cookies på amazon.fr.
Av beslutet framgår att CNIL, under tidsperioden den 12 december 2019 till den 19 maj 2020 genomfört en granskning av amazon.fr som visat att Amazon placerat reklamcookies på användares enheter utan att hämta in ett samtycke från användarna och utan att ge tillräcklig information om behandlingen av användarnas personuppgifter.
Enligt CNIL har två överträdelser av artikel 82 i den franska dataskyddslagen (lag nr 78-17 från den 6 januari 1978 om informationsteknik, datafiler och medborgerliga friheter) ägt rum.
För det första noterade CNIL att när en användare besökte webbplatsen amazon.fr så placerades automatiskt flera cookies, som användes för reklamändamål, på användarens utrustning utan att någon åtgärd krävdes från användarens sida. Eftersom denna typ av cookies, som inte är nödvändiga för tjänsten, endast kan placeras efter att användaren har gett sitt uttryckliga samtycke ansåg CNIL att Amazon inte uppfyllt kravet i artikel 82 i den franska dataskyddslagen. CNIL noterade också att Amazons användning av webbläsarinställningar, som en giltig mekanism för att samla in samtycke, kräver att användaren på förhand informeras om deras möjligheter att samtycka via webbläsarinställningar, något som Amazon inte gjort på företagets webbplats.
För det andra noterade CNIL att när en användare besökte sidan amazon.fr så var den information som visades på webbplatsen varken tydlig eller fullständig. Den informationsbanner som visas av Amazon, som innehöll texten “Genom att använda denna webbplats, accepterar du vår användning av cookies som gör det möjligt att erbjuda och förbättra våra tjänster. Läs mer.”, endast gav användaren allmän information om syftet med företagets användning av cookies. Enligt CNIL var det därmed svårt för en användare, genom att läsa informationsbannern, att förstå att cookies som placerades på användarens utrustning huvudsakligen användes för att visa anpassad reklam. Vidare noterade CNIL att informationsbannern inte förklarade för användaren hur de skulle göra för att vägra Amazons användning av cookies. Därutöver noterade CNIL att Amazons underlåtenhet att uppfylla sina skyldigheter varit särskilt tydliga när det gäller användare som besökte webbplatsen amazon.fr efter att de hade klickat på en annons som publicerades på en annan webbplats. I dessa situationer hade Amazon placerat samma typ av cookies på en användare utrustning utan att företaget lämnat någon information till användarna om behandlingen.
På grundval av ovanstående och med tanke på att Amazons hantering av cookies ägt rum under lång tid, liksom det faktum att Amazonas webbplats amazon.fr varit tillgänglig för miljontals människor, bötfällde CNIL företaget med 35 miljoner euro. Amazon beordrades också att inom tre månader från CNIL:s beslut informera användare om företagets användning av cookies.
Cookies regleras i EU:s e-Privacy direktiv som har implementerats på olika sätt i olika länder (direktivet ska ersättas med e-Privacy-Förordningen). I Sverige har reglerna för hantering av cookies implementerats i lagen om elektronisk kommunikation som ligger under Post- och Telestyrelsens (“PTS”) tillsyn. PTS verkar i dagsläget inte bedriva ett aktiv tillsyn på området cookies. Företag och organisationer med verksamheter i andra europeiska länder kan dock omfattas av tillsyn som myndigheterna bedriver i dessa länder.
Du kan läsa pressmeddelandet här, endast tillgänglig på engelska och franska, och beslutet här, endast tillgänglig på franska.