Frankrike: Microsoft bötfälls med 60 miljoner euro för bristande utformning av samtyckeslösning på bing.com

Commission Nationale de l’Informatique et des Libertés (CNIL) har bötfällt Microsoft Ireland Operations Limited med 60 miljoner euro för att inte ha infört en mekanism som gör det möjligt att vägra cookies lika enkelt som att acceptera dem.

Av beslutet framgår att CNIL, efter ett klagomål om villkoren för lagring av cookies på bing.com, genomfört flera kontroller på webbplatsen i september 2020 och maj 2021. När en användare besökte sökmotorn bing.com placerades enligt CNIL automatiskt en cookie med flera syften, bland annat för att bekämpa reklambedrägerier, på användarens terminal utan att han eller hon behövde göra något. När användaren fortsatte att surfa på sökmotorn placerades dessutom en cookie för reklamändamål, återigen utan användarens samtycke. Enligt nationell dataskyddslagstiftning, artikel 82 i lag nr 78-17 av den 6 januari 1978 om databehandling, datafiler och individuella friheter (dataskyddslagen), får denna typ av cookie endast placeras efter användarens samtycke.

Även om sökmotorn erbjöd en knapp som gjorde det möjligt att omedelbart acceptera cookies, erbjöd den enligt CNIL inte någon motsvarande lösning (knapp för att vägra eller annat) som gjorde det möjligt för användaren att vägra dem lika enkelt. Det krävdes istället två klick för att vägra alla cookies, men bara ett för att acceptera dem.

CNIL konstaterade att om man gör mekanismen för att vägra cookies mer komplicerad avskräcker man användarna från att vägra cookies och uppmuntrar dem istället att föredra den enkla samtyckesknappen i det första fönstret. Enligt CNIL kränker ett sådant förfarande frivilligheten vid lämnande av ett samtycke. CNIL drog därför slutsatsen att de villkor för att erhålla samtycke som erbjöds användarna fram tills Microsofts införande av en vägra allt-knapp den 29 mars 2022 utgjorde en överträdelse av dataskyddslagen.

CNIL är materiellt behörig att kontrollera och sanktionera verksamhet i samband med cookies som företaget placerar på användares terminaler i Frankrike. Den samarbetsmekanism som föreskrivs i dataskyddsförordningen (mekanismen med en enda kontaktpunkt) är enligt myndigheten inte avsedd att tillämpas i dessa förfaranden, eftersom verksamhet som rör användningen av cookies omfattas av direktivet om integritet och elektronisk kommunikation, som införlivats i artikel 82 i dataskyddslagen. CNIL är också också territoriellt behörig eftersom användningen av cookies sker inom ramen för Microsoft Frances verksamhet, vilket innebär att Microsoft-koncernen är etablerad på franskt territorium.

Mot bakgrund av ovanstående beslutade CNIL:s organ som ansvarar för att införa sanktionsavgifter om att bötfälla Microsoft med 60 miljoner euro och att offentliggöra sitt beslut på myndighetens webbplats. CNIL motiverade detta belopp med omfattningen av behandlingen, antalet berörda personer och den vinst som Microsoft gjorde genom reklamintäkter som indirekt genererades av de uppgifter som samlades in med hjälp av aktuella cookies.

Utöver de administrativa sanktionsavgifterna utfärdade CNIL också ett föreläggande med vite med krav på att Microsoft inom tre månader ska inhämta samtycke från personer som är bosatta i Frankrike till webbplatsen bing.com innan företaget placerar cookies och spårare på deras terminaler för reklamändamål. I annat fall ska Microsoft betala en straffavgift på 60 000 euro per dag tills dess att rättelse har skett.

Mer information

Myndighet: Commission Nationale de l’Informatique et des Libertés (CNIL)

Land: Frankrike

Lagrum: Art. 82 i lag nr 78-17 av den 6 januari 1978 om databehandling, datafiler och individuella friheter (dataskyddslagen)

Sanktionsavgift: 60 000 000 euro

Mottagare: Microsoft Ireland Operations Limited

Beslutsnummer: SAN-2022-023

Beslutsdatum: 2022-12-19

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

09 MAR

Introduktion till dataskyddsförordningen

Lär dig om grunderna i GDPR och vad som gäller vid behandling av personuppgifter.

16 MAR

Molntjänster och tredjelandsöverföringar

Få en genomgång av reglerna för tredjelandsöverföringar vid användning av molntjänster.

23 MAR

Konsekvensbedömning avseende dataskydd

Lär dig att göra en konsekvensbedömning avseende dataskydd i praktiken.