Obowiązek informacyjny rodo

KOMPAS FORSAFE 2025/30

Kraj:

Francja

Data wydania decyzji:

01.09.2025 r.

Podmiot kontrolowany:

GOOGLE IRELAND LIMITED

Wysokość kary (EUR):

125.000.000

Podstawa prawna naruszenia

Art. 82 francuskiej Ustawy o ochronie danych osobowych.

Niewystarczająca podstawa prawna przetwarzania danych.

 

Przyczyna naruszenia

Google wysyłał reklamy w Gmailu, które wyglądały jak zwykłe wiadomości e‑mail, choć użytkownicy nie wyrazili na to zgody. Przy zakładaniu konta firma sugerowała wybór spersonalizowanych reklam i utrudniała odrzucenie plików cookie. Użytkownicy nie byli jasno informowani, że od zgody na cookies zależy dostęp do usług. W efekcie zgoda udzielana przez użytkowników nie była ani dobrowolna, ani świadoma, co naruszało przepisy o marketingu elektronicznym i ochronie danych osobowych.

 

Opis wydarzeń

  1. Skarga organizacji NOYB:  24 sierpnia 2022 r. organizacja None of Your Business (NOYB) złożyła skargę do francuskiego organu nadzorczego. W odpowiedzi Francuski organ nadzorczy przeprowadził kilka kontroli w 2022–2023 r. dotyczących usługi Gmail i procesu zakładania konta Google.
  2. Analiza reklam w Gmailu:  Podczas kontroli odkryto, że użytkownikom, którzy aktywowali podział skrzynki na karty, w kartach PromotionsSocial wyświetlano reklamy jako wiadomości e‑mail. Reklamy te nie pochodziły od innych użytkowników i były umieszczane w przestrzeni przeznaczonej dla prywatnych maili. Francuski organ nadzorczy uznał to za marketing bezpośredni, wymagający uprzedniej zgody odbiorcy.
  3. Sposób zbierania zgody na cookies:  Francuski organ nadzorczy ocenił interfejs tworzenia konta Google. Użytkownicy byli zachęcani do wyboru personalizowanych reklam poprzez ukrywanie opcji odmowy i brak informacji, że instalacja cookies jest warunkiem korzystania z usług. Zdaniem francuskiego organu nadzorczego taka zgoda nie była ani dobrowolna ani świadoma.
  4. Argumenty Google:  Spółki twierdziły, że wyświetlane reklamy nie są wiadomościami e‑mail i nie powodują dezorientacji użytkowników, a różnice wizualne usuwają ryzyko pomyłki. Podnosiły również, że uzyskują zgodę na reklamy podczas zakładania konta oraz że orzecznictwo Trybunału Sprawiedliwości UE nie powinno mieć zastosowania w postępowaniu sankcyjnym. Francuski organ nadzorczy odrzucił te argumenty, wskazując, że reklamy stanowią marketing bezpośredni w rozumieniu francuskiego prawa i że zgoda nie była ważna.
  5. Skala i powtarzalność naruszeń: Naruszenie dotyczyło ponad 74 mln kont, z czego 53 mln użytkowników zobaczyło niezamówione reklamy w swoich skrzynkach. Francuski organ nadzorczy zwrócił uwagę, że Google dominuje na rynku reklamy internetowej i już wcześniej był karany za niewłaściwe używanie cookies.
  6. Decyzja organu nadzorczego i sankcje: 1 września 2025 r. francuski organ nadzorczy nałożył na Google LLC karę 200 mln €, a na Google Ireland Limited 125 mln €, zobowiązując obie spółki do zaprzestania wyświetlania reklam w Gmailu bez zgody i zapewnienia prawidłowej zgody na cookies w ciągu sześciu miesięcy; za każdy dzień zwłoki przewidziano karę 100 tys. €.
  7. Jurysdykcja organu nadzorczego:  Francuski organ nadzorczy podkreślił, że przepisy dotyczące plików cookie i marketingu elektronicznego wynikają z dyrektywy e‑Privacy i nie podlegają mechanizmowi „one‑stop‑shop” z RODO. W związku z tym francuski organ nadzorczy miał kompetencje do prowadzenia postępowania wobec podmiotów z grupy Google, które prowadzą działalność reklamową na terytorium Francji.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Przejrzyste i równorzędne uzyskiwanie zgody: Zapewnij, by opcje „zgadzam się” i „odmawiam” były identycznie widoczne i łatwe do wybrania, bez ukrywania czy przewagi kolorystycznej. Nie łącz zgody na pliki cookie z dostępem do usługi, o ile nie podasz wyczerpującej informacji o konsekwencjach.

  2. Brak reklam podszywających się pod wiadomości e‑mail: Jeśli usługa poczty elektronicznej udostępnia treści reklamowe, muszą one być wyraźnie oznaczone i odseparowane od prywatnej korespondencji. Reklamy nie powinny imitować maili, a ich wyświetlanie musi być poprzedzone zgodą użytkownika.

  3. Uczciwa architektura informacji (no dark patterns): Unikaj projektów interfejsu, które skłaniają użytkowników do wyboru opcji korzystnych dla administratora. Stosuj wyraźne i łatwe do zrozumienia komunikaty o celu i zakresie zgody, zwłaszcza w przypadku personalizacji reklam.

  4. Dokumentowanie procesów i analizy ryzyka: Przed wdrożeniem nowych funkcji marketingowych przeprowadź analizę wpływu na prywatność (PIA) i ocenę ryzyka. Udokumentuj uzasadnienie, że zgoda będzie swobodna i świadoma. Jeśli będziesz mieć wątpliwości skonsultuj rozwiązanie z organem nadzorczym.

  5. Regularne audyty i weryfikacja zgodności: Kontroluj, czy praktyki reklamowe i zarządzanie plikami cookie nadal spełniają wymagania prawa oraz decyzje organów nadzorczych. Aktualizuj interfejs użytkownika po zmianach w prawie lub w orzecznictwie.

  6. Szkolenie zespołów produktowych i prawnych: Upewnij się, że zespoły odpowiedzialne za projektowanie usług online rozumieją przepisy o marketingu elektronicznym i ochronie danych, aby minimalizować ryzyko wysokich kar administracyjnych.

  7. Współpraca z organami nadzorczymi: Przypadek Google pokazuje, że próba samodzielnego dostosowywania praktyk reklamowych bez konsultacji z organem nadzorczym może być niewystarczająca. W sytuacjach budzących wątpliwości prawne warto zasięgnąć opinii regulatora.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. Traktorowej 170. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO