Η εταιρεία εγκαθιστούσε cookies διαφήμισης χωρίς συγκατάθεση και επηρέαζε την ανάκληση της συγκατάθεσης με την απειλή διακοπής χρήσης του email
Στις 29 Δεκεμβρίου 2023, η γαλλική αρχή προστασίας δεδομένων CNIL επέβαλε πρόστιμο 10 εκατομμυρίων ευρώ στη YAHOO EMEA LIMITED για την άρνηση αποδοχής της επιλογής των χρηστών του διαδικτύου να αρνηθούν τα cookies στο site Yahoo.com, καθώς και επειδή δεν επέτρεπε στους χρήστες της υπηρεσίας της Yahoo! Mail να ανακαλέσουν ελεύθερα τη συγκατάθεσή τους στα cookies.
Η εταιρεία YAHOO EMEA LIMITED διαχειρίζεται σειρά διαδικτυακών υπηρεσιών, μεταξύ των οποίων μια μηχανή αναζήτησης και μια υπηρεσία ηλεκτρονικών μηνυμάτων. Η CNIL δέχθηκε 27 καταγγελίες σχετικά με την απροθυμία της να δεχθεί την άρνηση των cookies και τα εμπόδια που παρουσιάζονταν κατά την ανάκληση της συγκατάθεσης στην εγκατάσταση των cookies. Τον Οκτώβριο του 2020 και τον Ιούνιο του 2021, η CNIL πραγματοποίησε επιγραμμικούς ελέγχους τόσο στον ιστότοπο Yahoo.com, όσο και στην υπηρεσία ηλεκτρονικής αλληλογραφίας Yahoo! Mail.
Με βάση τα αποτελέσματα των ελέγχων, η γαλλική αρχή διαπίστωσε πως η εταιρεία YAHOO EMEA LIMITED δεν είχε συμμορφωθεί με τις απαιτήσεις της βάσει του άρθρου 82 του εθνικού νόμου για την προστασία προσωπικών δεδομένων, με το οποίο έχουν ενσωματωθεί οι κανόνες της Οδηγίας 2002/58.
Κατά τον καθορισμό του ύψους του προστίμου, η CNIL έλαβε υπόψιν της το γεγονός πως η εταιρεία δεν σεβάστηκε την επιλογή των χρηστών του διαδικτύου ως προς τα cookies και δεν είχε εκπονήσει μέτρα προκειμένου να τους αποτρέψει από το να ανακαλέσουν τη συγκατάθεσή τους.
Οι διαπιστωθείσες παραβάσεις
1. Εγκατάσταση cookies χωρίς τη συγκατάθεση του χρήστη
Κατά τον έλεγχο του Οκτωβρίου 2020, η CNIL διαπίστωσε πως όταν ένας χρήστης επισκεπτόταν τον ιστότοπο Yahoo.com, το αναδυόμενο παράθυρο (banner) των cookies που εμφανιζόταν οδηγούσε σε μια σελίδα που αποτελείτο από πολυάριθμα στοιχεία που είχαν σχεδιαστεί για τη συλλογή της συγκατάθεσης για την εγκατάσταση cookies. Παρ’ όλα αυτά, η CNIL παρατήρησε πως 20 cookies για διαφημιστικούς σκοπούς εγκαθίσταντο στον εξοπλισμό του χρήστη, ακόμη και χωρίς τη συγκατάθεσή του.
Η πρακτική αυτή αποτέλεσε παραβίαση των απαιτήσεων του άρθρου 82 του εθνικού νόμου, καθώς η εγκατάσταση cookies για διαφημιστικούς σκοπούς είναι επιτρεπτή μόνο εφόσον έχει δοθεί η συγκατάθεση του χρήστη.
2. Κίνητρα για τη μη ανάκληση της συγκατάθεσης
Περαιτέρω, η γαλλική αρχή παρατήρησε πως όταν ένας χρήστης της υπηρεσίας email της Yahoo επιθυμούσε να ανακαλέσει τη συγκατάθεση που είχε δώσει για την εγκατάσταση cookies, η εταιρεία τον ενημέρωνε πως η ενέργειά του αυτή θα είχε ως αποτέλεσμα το να μη μπορεί πλέον να έχει πρόσβαση στις υπηρεσίες που του παρείχε και πως θα οδηγούσε στην απώλεια της πρόσβασης στο ηλεκτρονικό ταχυδρομείο του.
Η CNIL υπενθύμισε πως η σύνδεση της χρήσης μιας υπηρεσίας με την εγκατάσταση cookies που δεν είναι απολύτως αναγκαία για την υπηρεσία αυτή δεν είναι παράνομη καθεαυτή, υπό την προϋπόθεση πως η συγκατάθεση δίνεται ελεύθερα. Αυτό σημαίνει ότι η άρνηση ή η ανάκληση της συγκατάθεσης δεν είναι επιζήμια για τον χρήστη. Στην προκειμένη περίπτωση, ωστόσο, η εταιρεία δεν παρείχε εναλλακτική λύση για τους χρήστες που επιθυμούσαν να ανακαλέσουν τη συγκατάθεσή τους: η μοναδική επιλογή που τους δινόταν ήταν να εγκαταλείψουν τη χρήση του email τους.
Η αρχή κατέληξε πως, υπό τις συνθήκες αυτές, η ανάκληση της συγκατάθεσης δεν θα μπορούσε να ασκηθεί ελεύθερα.
Παράλληλα, η CNIL επεσήμανε πως η διεύθυνση ενός email αποτελεί στοιχείο της ιδιωτικής ζωής ενός χρήστη, στον βαθμό που μέσω αυτού επικοινωνεί με άλλους ανθρώπους, αναπτύσσει τις σχέσεις του και διεξάγει σημαντικές προσωπικές και επαγγελματικές επικοινωνίες. Ως αποτέλεσμα, όταν οι χρήστες συνηθίζουν στη χρήση μιας συγκεκριμένης ηλεκτρονικής διεύθυνσης, δεν είναι τόσο εύκολο να την αντικαταστήσουν με μια εναλλακτική υπηρεσία, όσο ήταν αρχική όταν την επέλεξαν.
The panel stressed that an e-mail address was nevertheless an element of the user’s private life, insofar as it enabled him to exchange with other people, develop his network and archive important personal or professional conversations. As a result, as users come to use their e-mail address, they can no longer replace it with any similar service as easily as they would have done initially.
Η αρμοδιότητα της CNIL
Η CNIL είναι καθ’ ύλην αρμόδια να ελέγχει και να επιβάλλει κυρώσεις για την εγκατάσταση cookies σε τερματικούς εξοπλισμούς χρηστών που βρίσκονται στη Γαλλίας. Ο μηχανισμός συνεργασίας του ΓΚΠΔ (μηχανισμός μιας στάσης) δεν αποσκοπεί στον έλεγχο των περιπτώσεων αυτών, από τη στιγμή που η χρήση των cookies εμπίπτει στο πεδίο εφαρμογής της Οδηγίας e-Privacy, η οποία έχει ενσωματωθεί με το άρθρο 82 του γαλλικού νόμου για τα προσωπικά δεδομένα.
Η CNIL είναι και κατά τόπον, καθώς η χρήση των cookies γίνεται στο πλαίσιο των δραστηριοτήτων της YAHOO FRANCE, η οποία αποτελεί την εγκατάσταση της YAHOO EMEA LIMITED στο γαλλικό έδαφος.
Από το δελτίο τύπου της CNIL