Luxemburgs dataskyddsmyndighet Commission Nationale pour la Protection des Données (“CNPD”) har bötfällt Amazon Inc. med 746 miljoner euro för överträdelser av dataskyddsförordningen (GDPR). Detta framgår Amazon kvartalsrapport för andra kvartalet 2021 (se s. 13 i detta dokument) vilket också bekräftats av CNPD i ett pressmeddelande från den 6 augusti 2021 (läs pressmeddelandet här).
Luxemburgs nationella lagstiftning hindrar CNPD från att kommentera beslutet innan det har vunnit laga kraft. I sin kvartalsrapport hävdar Amazon emellertid att CNPD:s beslut saknar grund. Enligt Reuters kommer företaget att överklaga beslutet (lär mer om detta här).
I kommentarer som Amazon lämnat till The Register, en brittisk tech-tidning, antyder Amazon att beslutet kan röra otillåten delning av personuppgifter med tredje parter (läs mer om detta här). Samtidigt hävder företaget att ingen personuppgiftsincident har ägt rum och försäkrar att säkerheten vid behandling av kunduppgifter har högt prioritet.
Det är sannolikt att beslutet inte rör någon personuppgiftsincident utan Amazons omfattande profilering av användarbeteende för marknadsföringsändamål. Enligt LaQuadrature, en fransk människorättsorganisation, strider profileringen mot GDPR:s samtyckes- och informationskrav. LaQuadrature har tidigare lämnat in ett klagomål avseende detta till CNPD (se här) och kommenterar Amazons reaktion på CNPD:s beslut på sin blogg (läs blogginlägget här).
Amazon’s reaction to this historic sanction is to complain to Bloomberg, pretending to not understanding what is at stake … […]… it is the system of targeted advertising itself, and not merely occasional security breaches, that our legal action attacked. This historic fine hits straight to the heart of Big Tech’s predatory system, and should be celebrated as such.
— LaQuadrature
Det kan finnas anledning för Amazon att vara oroliga. LaQuadratures har en god meritlista när det gäller klagomål mot internetjättar. Senast 2019 bidrog organisationens klagomål till att CNIL, den franska tillsynsmyndigheten för dataskydd, bötfällde Google med 50 miljoner euro för olaglig behandling av personuppgifter i samband med individanpassad marknadsföring (läs CNIL:s pressmeddelande här).
Även svenska företag och myndigheter bör se över sin hantering av individanpassad marknadsföring. ”Mot bakgrund av den ökade tillsynen i andra europeiska länder har även många svenska aktörer börjat med att se över hur de spårar och profilerar webbanvändare” säger TechLaws Sebastian Berg. ”Samtidigt upplever många aktörer att det finns en osäkerhet i frågor som rör cookies och liknande teknologier som används för spårning och profilering, särskilt mot bakgrund av att dessa frågor hittills inte prioriterats av svenska tillsynsmyndigheter och att det saknas tydlig vägledning på området” fortsätter han.