X-twitter Linkedin

Polecane

Twitter Linkedin

Francuski urząd ochrony danych karze Google rekordową grzywną za naruszenia prywatności

Redakcja

Fot. Unsplash.

Francuski urząd ochrony danych, Commission Nationale de l’Informatique et des Libertés (CNIL), nałożył na Google karę w wysokości 325 milionów euro (381 milionów USD) za naruszenia prywatności związane z wyświetlaniem spersonalizowanych reklam w Gmailu oraz stosowaniem plików cookie bez świadomej zgody użytkowników.

Francuski urząd ochrony danych, Commission Nationale de l’Informatique et des Libertés (CNIL), ogłosił nałożenie na Google kary w wysokości 325 milionów euro za poważne naruszenia prywatności, jak poinformował Reuters. Decyzja dotyczy wyświetlania spersonalizowanych reklam w formie wiadomości e-mail w Gmailu oraz stosowania plików cookie podczas zakładania kont Google bez uzyskania świadomej zgody użytkowników.

Śledztwo, zainicjowane w sierpniu 2022 roku po skardze organizacji None Of Your Business (NOYB), wykazało, że Google naruszyło artykuł 82 francuskiej ustawy o ochronie danych oraz artykuł L.34-5 Kodeksu Poczty i Komunikacji Elektronicznej (CPCE), stosując niejasne polityki prywatności i „ścianę cookie”, która utrudnia odrzucenie personalizowanych reklam. Kara, podzielona na 200 milionów euro dla Google LLC i 125 milionów dla Google Ireland Limited, jest trzecią sankcją CNIL wobec Google, po karach 100 milionów euro w 2020 roku i 150 milionów euro w 2021 roku. CNIL dało firmie sześć miesięcy na zaprzestanie niezgodnych praktyk, grożąc dodatkowymi karami w wysokości 100 tysięcy euro dziennie za zwłokę. Decyzja wpisuje się w unijny trend zaostrzania regulacji wobec Big Tech, napędzany RODO i Digital Services Act (DSA).

CNIL – rola i kompetencje

Commission Nationale de l’Informatique et des Libertés (CNIL), założona w 1978 roku, jest niezależnym francuskim urzędem odpowiedzialnym za ochronę danych osobowych i prywatności. CNIL nadzoruje przestrzeganie francuskiej ustawy o ochronie danych (Loi Informatique et Libertés) oraz unijnego Rozporządzenia o Ochronie Danych Osobowych (RODO), które weszło w życie w 2018 roku. Urząd ma prawo przeprowadzać kontrole, nakładać kary finansowe, wydawać nakazy i prowadzić kampanie edukacyjne, co czyni go jednym z najważniejszych organów ochrony danych w Europie.

Wprowadzenie RODO znacząco zwiększyło znaczenie CNIL, umożliwiając nakładanie kar do 20 milionów euro lub 4% rocznych globalnych przychodów firmy. CNIL aktywnie egzekwuje te przepisy wobec dużych firm technologicznych. W 2019 roku urząd ukarał Google kwotą 50 milionów euro za brak przejrzystości w personalizacji reklam, co było pierwszą dużą sankcją w ramach RODO. W 2020 roku Google otrzymało karę 100 milionów euro za naruszenia dotyczące plików cookie, a w 2021 roku 150 milionów euro za utrudnianie użytkownikom odrzucenia cookie.

CNIL współpracuje z innymi europejskimi organami ochrony danych w ramach Europejskiej Rady Ochrony Danych (EDPB), ale w sprawach dotyczących dyrektywy e-Privacy, regulującej pliki cookie i marketing bezpośredni, działa niezależnie. Urząd publikuje wytyczne, takie jak „Guidelines on Cookies and Other Tracking Technologies” z 2020 roku, które określają standardy zgody i przejrzystości.

Szczegóły postępowania przeciwko Google

Postępowanie CNIL przeciwko Google rozpoczęło się 24 sierpnia 2022 roku po skardze organizacji None Of Your Business (NOYB), która zarzuciła firmie naruszanie prywatności użytkowników Gmaila i nowych kont Google. Śledztwo objęło dwa główne obszary: wyświetlanie spersonalizowanych reklam w Gmailu oraz stosowanie plików cookie podczas zakładania kont. Kontrole, przeprowadzone w latach 2022–2023, wykazały poważne uchybienia w polityce prywatności Google.

W Gmailu Google umieszczało reklamy w zakładkach „Promocje” i „Społeczności”, które wyglądały jak zwykłe wiadomości e-mail, co naruszało artykuł L.34-5 CPCE, wymagający wyraźnej zgody na marketing bezpośredni. CNIL ustaliło, że praktyka ta, stosowana wobec 53 milionów użytkowników we Francji, odbywała się bez ich świadomej zgody. Choć Google wprowadziło zmiany wizualne w reklamach w 2023 roku, nie zapewniło wystarczających informacji o ich charakterze.

Druga kwestia dotyczyła mechanizmu zakładania kont Google, gdzie użytkownicy napotykali „ścianę cookie” – interfejs, który zachęcał do akceptacji spersonalizowanych reklam, utrudniając wybór opcji bez śledzenia. CNIL uznało, że narusza to artykuł 82 francuskiej ustawy o ochronie danych, który wymaga, by zgoda była dobrowolna, świadoma i łatwa do wycofania. Informacje o przetwarzaniu danych były rozproszone i niejasne, co uniemożliwiało użytkownikom pełną kontrolę.

CNIL stwierdziło, że Google nie zapewniło użytkownikom przejrzystych informacji ani realnej możliwości odrzucenia personalizacji reklam, co stanowiło poważne naruszenie zasad RODO i dyrektywy e-Privacy. Urząd nakazał firmie zmianę praktyk w ciągu sześciu miesięcy, pod groźbą dodatkowych kar.

Kara finansowa i jej skala

CNIL nałożyło na Google karę w wysokości 325 milionów euro, podzieloną na 200 milionów dla Google LLC i 125 milionów dla Google Ireland Limited, jak podaje komunikat CNIL z 2 września 2025 roku. Sankcja, dotycząca 74 milionów kont we Francji, w tym 53 milionów użytkowników Gmaila, jest jedną z najwyższych w historii urzędu i odzwierciedla skalę naruszeń oraz dominującą pozycję Google na rynku reklamy online.

W porównaniu z poprzednimi karami CNIL, obecna sankcja jest rekordowa. W 2020 roku Google ukarano 100 milionów euro za brak zgody na pliki cookie na google.fr, a w 2021 roku 150 milionów euro za utrudnianie odrzucenia cookie na google.fr i youtube.com. Inne firmy, jak Amazon (35 milionów euro w 2020 roku) czy Meta (60 milionów euro w 2021 roku), otrzymały niższe kary, co podkreśla surowość obecnej decyzji wobec Google.

Początkowo CNIL rozważało karę w wysokości 525 milionów euro, argumentując skalą naruszeń i zyskami Google z reklam spersonalizowanych. Kwota została obniżona do 325 milionów euro z uwagi na częściowe zmiany wprowadzone przez Google w 2023 roku, takie jak modyfikacje w prezentacji reklam w Gmailu, oraz ograniczenie zakresu postępowania do użytkowników we Francji. Kara uwzględnia także wcześniejsze naruszenia, co zwiększyło jej wysokość.

Reakcja Google

Google, w odpowiedzi na decyzję CNIL, wydało oświadczenie, w którym zapowiedziało analizę sankcji i dalszą współpracę z urzędem. Google podkreśliło, że użytkownicy mogą zarządzać ustawieniami reklam, choć nie potwierdziło, czy złoży apelację. Firma zapowiedziała dalsze ulepszenia w przejrzystości i kontroli danych, w tym uproszczenie mechanizmów zgody na pliki cookie i wyraźniejsze oznaczanie reklam w Gmailu. W odpowiedzi na wcześniejsze kary CNIL, Google wprowadziło w 2023 roku przycisk „Pozwól tylko na niezbędne pliki cookie” na google.fr i youtube.com, co zakończyło jedno z postępowań. Obecna decyzja może przyspieszyć podobne zmiany w interfejsie Gmaila i procesie zakładania kont.

Strategia komunikacyjna Google wobec regulatorów UE opiera się na deklaracjach współpracy i unikaniu otwartego konfliktu. Firma często podkreśla inwestycje w prywatność, takie jak Privacy Sandbox, ale kwestionuje jurysdykcję CNIL, argumentując, że jej europejska siedziba w Irlandii podlega mechanizmowi „jednego okienka” RODO. CNIL odrzuciło te twierdzenia, wskazując, że naruszenia cookie podlegają dyrektywie e-Privacy, co daje urzędowi kompetencje krajowe.

Znaczenie decyzji dla użytkowników

Decyzja CNIL ma istotne konsekwencje dla użytkowników Gmaila i usług Google, szczególnie we Francji, ale potencjalnie także w całej UE. W ciągu sześciu miesięcy Google musi zaprzestać wyświetlania reklam w formie wiadomości e-mail w Gmailu bez wyraźnej zgody oraz uprościć mechanizm odrzucania plików cookie podczas zakładania kont. Te zmiany mogą oznaczać mniej inwazyjne reklamy i większą kontrolę nad danymi osobowymi.

Obecnie użytkownicy Gmaila napotykają reklamy w zakładkach „Promocje” i „Społeczności”, które wyglądają jak zwykłe e-maile, co utrudnia ich odróżnienie. Po wprowadzeniu zmian reklamy mogą być wyraźniej oznaczone lub usunięte, jeśli użytkownicy nie wyrażą zgody na personalizację. Proces zakładania kont Google stanie się bardziej przejrzysty, z wyraźnym wyborem między spersonalizowanymi a ogólnymi reklamami, co ułatwi odrzucenie śledzenia.

Dla użytkowników oznacza to większą autonomię w zarządzaniu danymi, ale także potencjalne wyzwania, jeśli Google skomplikuje ustawienia prywatności, jak miało to miejsce w przeszłości. CNIL wymaga, by informacje o przetwarzaniu danych były jasne i dostępne w jednym miejscu, co może poprawić doświadczenie użytkownika, szczególnie dla mniej zaawansowanych technologicznie osób.

Regulacje a Big Tech w Europie

Unia Europejska jest globalnym liderem w regulowaniu sektora technologicznego, a RODO, wprowadzone w 2018 roku, ustanowiło rygorystyczne standardy ochrony danych, z karami do 4% rocznych przychodów firm. Dyrektywa e-Privacy, regulująca pliki cookie i marketing bezpośredni, umożliwia krajowym organom, takim jak CNIL, szybkie działania. Digital Services Act (DSA), obowiązujący od 2022 roku, dodatkowo zwiększa odpowiedzialność platform cyfrowych za przejrzystość i ochronę użytkowników.

Trend w UE to rosnące kary i presja regulacyjna na Big Tech. CNIL ukarało Google 100 milionami euro w 2020 roku, 150 milionami w 2021 roku, Amazon 35 milionami w 2020 roku, a Meta 60 milionami w 2021 roku. W innych krajach Irlandia nałożyła 405 milionów euro na Instagram w 2022 roku, a Luksemburg 746 milionów na Amazon w 2021 roku. W 2025 roku CNIL ukarało Shein 150 milionami euro za naruszenia cookie, co pokazuje, że regulacje obejmują także nowych graczy.

UE wyróżnia się na tle USA, gdzie regulacje są fragmentaryczne, a kary rzadkie, oraz Azji, gdzie prywatność często ustępuje interesom państwa lub korporacji. Europejskie podejście, oparte na zasadzie ochrony danych jako prawa podstawowego, kontrastuje z modelem amerykańskim, który priorytetyzuje innowacje i zyski. DSA i nadchodzący Digital Markets Act (DMA) dodatkowo wzmacniają kontrolę nad Big Tech, wymagając np. łatwego odrzucania cookie.

Google a historia sporów z regulatorami

Google ma długą historię konfliktów z regulatorami w Europie, szczególnie z CNIL. W 2019 roku urząd nałożył karę 50 milionów euro za brak przejrzystości w personalizacji reklam, co było pierwszą sankcją w ramach RODO. W 2020 roku Google ukarano 100 milionami euro za naruszenia cookie na google.fr, a w 2021 roku 150 milionami euro za utrudnianie odrzucenia cookie na google.fr i youtube.com. Obecna kara 325 milionów euro jest najwyższą w historii CNIL wobec Google i trzecią z rzędu.

Poza Francją Google zmaga się z postępowaniami w innych krajach UE. W 2018 roku Komisja Europejska nałożyła karę 4,34 miliarda euro za nadużywanie dominacji Androida, a w 2017 roku 2,42 miliarda euro za faworyzowanie własnych usług w wyszukiwarce. Irlandzki urząd ochrony danych ukarał WhatsApp (należący do Meta) 225 milionami euro w 2021 roku, co pokazuje, że Google nie jest jedynym celem. Globalnie firma boryka się z antymonopolowymi postępowaniami w USA i Indiach, dotyczącymi np. sklepu Google Play. Wizerunkowo powtarzające się kary podważają reputację Google jako firmy odpowiedzialnej, mimo jej wysiłków na rzecz poprawy prywatności, takich jak Privacy Sandbox. Finansowo sankcje są ułamkiem przychodów (307 miliardów USD w 2024 roku), ale rosnące koszty dostosowania, w tym zmiany w interfejsach i procesach, obciążają budżet firmy.

Tagi:
Francja Google gospodarka prawo przepisy