Den franska dataskyddsmyndigheten Commission Nationale de l’Informatique et des Libertés (“CNIL”) har bötfällt Google LLC och Google Ireland Limited med totalt 100 miljoner euro för olaglig användning av cookies på google.fr.
Av beslutet framgår att CNIL genomfört en granskning av google.fr som visat att Google placerat reklamcookies på användares enheter utan att hämta in ett samtycke från användarna och utan att ge tillräcklig information om behandlingen av användarnas personuppgifter.
Enligt CNIL har tre överträdelser av artikel 82 i den franska dataskyddslagen (lag nr 78-17 från den 6 januari 1978 om informationsteknik, datafiler och medborgerliga friheter) ägt rum.
För det första noterade CNIL att när en användare besökte webbplatsen google.fr så placerades automatiskt flera cookies som användes för reklamändamål på användarens utrustning, utan att någon åtgärd krävdes från användarens sida. Eftersom denna typ av cookies endast kan placeras efter att användaren har gett sitt samtycke ansåg CNIL att Google inte uppfyllt kravet i artikel 82 i den franska dataskyddslagen.
För det andra noterade CNIL att när en användare besökte sidan google.fr, visades en informationsbanner längst ner på sidan, med innehållet “Sekretesspåminnelse från Google”, samt två knappar med innehållet “Påminn mig senare” och “Åtkomst nu”. Enligt CNIL innehöll bannern inte information om cookies som redan placerats på användarens utrustning när denne kom till webbplatsen. Informationen lämnades inte heller när användaren klickade på knappen ”Åtkomst nu”. CNIL ansåg därför att Google inte informerat användare som bor i Frankrike om företagets användning av cookies eller gett användare möjligheten att neka en sådan användning.
För det tredje noterade CNIL att när en användare inaktiverade annonsanpassningen med hjälp av den tillgängliga mekanismen som kan nås från knappen “Åtkomst nu” lagrades fortfarande en av Googles reklamcookies på användarens utrustning. Cookien fortsatte även att läsa information riktad mot servern som den var ansluten till. CNIL ansåg därför att den tillgängliga mekanismen delvis var bristfällig vilket strider mot kraven i artikel 82 i den franska dataskyddslagen.
Som ett resultat beslutade CNIL att Google LLC, i egenskap av utvecklare av Googles sökmotor, skulle åläggas böter med 60 miljoner euro, och att Google Ireland Limited, Googles europeiska huvudkontor, skulle åläggas 40 miljoner euro i böter, då företagen var gemensamt ansvariga för att fastställa ändamålen och medlen på vilket sätt cookies används.
Vid beräkningen av böterna uppgav CNIL att man hade övervägt faktorer som svårighetsgraden av att begå tre överträdelser av lagen, att Google Search påverkat nästan 50 miljoner franska användare, den ekonomiska vinst som indirekt genererats av insamlingen av personuppgifter genom reklamcookies samt det faktum att reklamcookies, sedan en uppdatering av webbsidan under 2020, inte längre placerade cookies på användarnas utrustning per automatik när de besökte google.fr.
Slutligen framhöll CNIL att tillsynen inte omfattar CNIL:s nya riktlinjer och rekommendationer om användning av cookies och andra teknologier då övergångstiden för tillämpning av reglerna ännu inte har löpt ut.
Cookies regleras i EU:s e-Privacy direktiv som har implementerats på olika sätt i olika länder (direktivet ska ersättas med e-Privacy-Förordningen). I Sverige har reglerna för hantering av cookies implementerats i lagen om elektronisk kommunikation som ligger under Post- och Telestyrelsens (“PTS”) tillsyn. PTS verkar i dagsläget inte bedriva ett aktiv tillsyn på området cookies. Företag och organisationer med verksamheter i andra europeiska länder kan dock omfattas av tillsyn som myndigheterna bedriver i dessa länder.
Du kan läsa pressmeddelandet här, endast tillgänglig på engelska och franska, och beslutet här, endast tillgänglig på franska.