Podstawa prawna naruszenia

Art. 82 francuskiej Ustawy o ochronie danych osobowych.

Niewystarczająca podstawa prawna przetwarzania danych.

Przyczyna naruszenia

Strona shein.com automatycznie instalowała na urządzeniach użytkowników pliki cookie o charakterze reklamowym i analitycznym bez uprzedniej zgody – w tym pliki _pinterest_ct-ua, _pin_unauth, muc_ads, kilka plików ograniczających częstotliwość wyświetlania reklam oraz identyfikator “cookieId” do testów A/B. Mechanizmy zgody były nieprzejrzyste: banery nie informowały o celach reklamowych, nie podawały nazw partnerów, a przycisk „Odrzuć wszystkie” nie zapobiegał instalowaniu ani odczytywaniu plików cookie. Francuski organ nadzorczy zwrócił także uwagę na masową skalę przetwarzania – około 12 mln mieszkańców Francji odwiedza stronę miesięcznie.

Opis wydarzeń

1. Kontrola organu nadzorczego: 10 sierpnia 2023 r. francuski organ nadzorczy przeprowadził kontrolę online serwisu shein.com. W trakcie kontroli odnotowano instalowanie dziesięciu plików cookie o celach reklamowych i analitycznych, zanim użytkownik mógł wyrazić zgodę.

2. Analiza banerów cookies: Sprawdzono interfejsy do zarządzania plikami cookie. Banery zawierały przyciski „Ustawienia cookies”, „Odrzuć wszystkie” i „Akceptuj”, lecz brakowało w nich informacji o celach marketingowych i listy partnerów. Drugi baner umożliwiał wyłącznie akceptację cookies.

3. Weryfikacja mechanizmu odmowy: Francuski organ nadzorczy stwierdził, że po kliknięciu „Odrzuć wszystkie” lub wycofaniu zgody nadal instalowano nowe pliki cookie i kontynuowano odczyt plików już obecnych.

4. Postępowanie administracyjne: Po kontroli prowadzono korespondencję ze spółką, aby każda strona miała możliwość przedstawienia swoich argumentów. W toku postępowania spółka modyfikowała baner cookies i zaprzestała części praktyk, lecz francuski organ nadzorczy uznał, że naruszenie już nastąpiło.

5. Decyzja i sankcja: 1 września 2025 r. francuski organ nadzorczy wydał decyzję nakładając na INFINITE STYLES SERVICES CO. LIMITED karę 150 mln EUR oraz nakazując publikację decyzji na dwa lata. Organ uznał, że ze względu na wprowadzone zmiany nie wydaje dodatkowych nakazów.

Źródło

Pełna treść decyzji organu nadzorczego

Aby uniknąć podobnych naruszeń, zalecamy:

1. Rzetelna zgoda: Zbieraj wyraźną, wolną i świadomą zgodę zanim jakiekolwiek pliki cookie (inne niż niezbędne) zostaną zapisane lub odczytane.

2. Przejrzysty baner: Udostępnij równorzędne opcje „Akceptuj” i „Odrzuć” bez ukrywania odmowy. Już na pierwszym poziomie poinformuj o celach cookies i charakterze przetwarzania.

3. Pełna informacja o partnerach: W drugim poziomie zgody zamieść listę podmiotów trzecich, które mogą umieszczać pliki cookie, oraz wskaż okres ich retencji.

4. Sprawny mechanizm odmowy: Zapewnij, że wybór „Odrzuć wszystkie” lub wycofanie zgody skutkuje natychmiastowym zaprzestaniem instalowania i odczytywania plików cookie.

5. Ograniczenie żywotności i zakresu cookie: Pliki do testów A/B i pomiaru ruchu zwolnione z obowiązku zgody muszą być ściśle ograniczone do statystyk i mieć krótką żywotność (np. maks. 13 miesięcy).

6. Regularne audyty: Przeprowadzaj okresowe kontrole zgodności banerów cookies i mechanizmów zgody oraz aktualizuj je według wytycznych CNIL, EROD i polskiego UODO.

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu