Pliki cookies umieszczane bez zgody: SHEIN ukarane karą administracyjną w wysokości 150 mln euro

Francuski organ ochrony danych CNIL ustalił, że na stronie shein.com dochodziło do systemowego umieszczania i odczytywania na urządzeniach użytkowników szeregu plików cookies – w tym reklamowych i służących tzw. cappingowi reklamowemu – bez uprzedniej zgody użytkownika.

‍

Zakazane praktyki

‍

Podczas kontroli stwierdzono, że:

1. Po wejściu na stronę SHEIN cookies reklamowe były zapisywane automatycznie, jeszcze przed wyrażeniem na nie zgody przez użytkownika. CNIL potwierdził, że pliki wykorzystywane do ograniczania liczby wyświetleń reklam (capping) nie należą do kategorii zwolnionych z obowiązku pozyskania zgody.
   
   
2. Dodatkowe cookies były umieszczane w urządzeniu także po zamknięciu wyskakujących okienek, mimo braku interakcji z banerem dotyczącym zgody. CNIL wskazał na pliki takie jak: no_pop_up_fr, hideCoupon, hideCouponId_time, hideCouponWithRequest, revisit_canshow i have_show .
   
   
3. Mechanizmy informowania i zbierania zgody były wadliwe. Użytkownik otrzymywał dwie różne warstwy informacji – baner cookies oraz wyskakujące okno powitalne – co tworzyło niejasność i nie spełniało wymogu zgody świadomej i jednoznacznej. CNIL podkreślił, że brak łatwego sposobu odmowy oznacza również brak „zgody dobrowolnej” w rozumieniu GDPR .
   
   
4. Wycofanie zgody nie było skuteczne, ponieważ po cofnięciu zgody część cookies nadal była odczytywana. CNIL uznał to za niezależne naruszenie, podkreślając obowiązek zapewnienia realnej możliwości wycofania zgody w każdym momencie.
   
   

Wnioski dla biznesu

‍

Wprawdzie postępowanie zostało prowadzone w oparciu o przepisy francuskie, jednak wnioski mają przełożenie jak najbardziej na system polski:

1. Każdy system wykorzystujący cookies musi być zgodny z zasadą opt-in. Automatyczne umieszczanie jakichkolwiek plików wykraczających poza niezbędne cele techniczne stanowi ryzyko prawne.
   
   
2. Baner musi dawać możliwość odmowy wyrażenia zgody jednym kliknięciem, w tym samym miejscu i tak samo łatwo jak w przypadku zgody.

3. Wycofanie zgody musi działać natychmiast. W praktyce oznacza to konieczność wdrożenia mechanizmów faktycznego wygaszania cookies (np. oznaczania ich jako wygasłych). Nieskuteczna realizacja działań koniecznych ze względu na wycofanie zgody przez użytkownika stanowi samoistne naruszenie.
   
   
4. Wielowarstwowe lub sprzeczne interfejsy zgody zwiększają ryzyko sankcji. Jeden system, jasny, przejrzysty i łatwy w obsłudze – to obecny standard przyjmowany przez organy nadzoru.
   
   
5. Działania marketingowe oparte na pop-upach i retargetingu są szczególnie obciążone ryzykiem, jeśli nie opierają się na zgodzie wyrażonej w zgodzie z obowiązującymi przepisami i standardami.

‍