Obowiązek informacyjny rodo

KOMPAS FORSAFE 2026/32

Kraj:

Francja

Data wydania decyzji:

20.11.2025 r.

Podmiot kontrolowany:

LES PUBLICATIONS CONDE NAST.

Wysokość kary (EUR):

750.000

Podstawa prawna naruszenia

Art. 7 RODO.

Nieprzestrzeganie ogólnych zasad przetwarzania danych.

 

Przyczyna naruszenia

Główną przyczyną naruszenia była niezgodna z prawem polityka cookies stosowana na portalu vanityfair.fr. Kontrole francuskiego organu nadzorczego wykazały, że spółka zapisywała na urządzeniach internautów pliki śledzące jeszcze przed uzyskaniem zgody, a po kliknięciu przez użytkownika przycisku „Odmów” nadal instalowała i odczytywała cookies, które nie były niezbędne. Ponadto baner informujący o cookies błędnie wskazywał, że niektóre pliki są „konieczne”, choć służyły do łączenia danych z różnych urządzeń lub identyfikowania urządzenia, a spółka nie umożliwiała skutecznego wycofania zgody.

 

Opis wydarzeń

  1. Wielokrotne kontrole: W wyniku skarg, m.in. od organizacji NOYB, francuski organ nadzorczy prowadził od 2019 r. serię kontroli wobec Les Publications Condé Nast. Przeprowadzono trzy kontrole zdalne i przesłuchanie w latach 2019‑2021, a w 2021 r. wydano formalne wezwanie do usunięcia niezgodności w zakresie plików cookie.
  2. Nowe naruszenia: Podczas kontroli 19 lipca i 9 listopada 2023 r. francuski organ nadzorczy stwierdził, że na stronie vanityfair.fr zapisywano plik NID (cookie Google) bez uzyskania zgody użytkownika, czyli już przy pierwszym wejściu na stronę. Spółka przyznała, że był to błąd techniczny, ale usunęła go dopiero 12 stycznia 2024 r.
  3. Błędna kwalifikacja plików jako „niezbędne”: W banerze „Zarządzaj preferencjami zgody” niektóre pliki przypisano do kategorii cookies „niezbędne do działania strony”. Chodziło o pliki służące do łączenia różnych źródeł danych, identyfikacji urządzenia czy zestawiania danych z wielu terminali. Francuski organ nadzorczy uznał, że takie czynności nie są konieczne do wyświetlenia strony, więc wymagają zgody.
  4. Fałszywa skuteczność opcji „Odmów”: Kontrole wykazały, że nawet po kliknięciu przez użytkownika przycisku „Odmów wszystkie”, na urządzeniu nadal zapisywano cookies wymagające zgody, m.in. plik służący do analizowania sesji oraz ten sam plik NID. To oznaczało, że mechanizm odmowy był nieskuteczny.
  5. Trudności z wycofaniem zgody: W lutym 2025 r. francuski organ nadzorczy sprawdził, czy użytkownicy mogą wycofać wcześniejszą zgodę. Po zaakceptowaniu cookies i późniejszym kliknięciu „Odmów” część plików nadal była odczytywana; dotyczyło to m.in. plików Google Analytics. Mimo deklaracji spółki, że pliki nie przekazują danych do Google, brakowało pewności co do zaprzestania odczytu.
  6. Brak proaktywnej współpracy i długi okres niezgodności: Francuski organ nadzorczy podkreślił, że spółka była wielokrotnie informowana o swoich obowiązkach, jednak działania naprawcze wdrażała dopiero po kolejnych kontrolach. Uznano, że zaniedbania były poważne, dotknęły około 7,4 mln użytkowników (ponad 6 mln we Francji) oraz przyniosły spółce korzyści finansowe z reklamy.
  7. Kara finansowa: Po analizie okoliczności francuski organ nadzorczy nałożył na spółkę Les Publications Condé Nast administracyjną karę w wysokości 750 000 EUR.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Uzyskiwanie zgody przed instalacją cookies: Administrator powinien wdrożyć mechanizm blokujący wszystkie cookies niespełniające warunków wyjątku, dopóki użytkownik nie wyrazi wyraźnej zgody. Oznacza to, że nie wolno uzależniać jej od wstępnego wejścia na stronę ani od późniejszej aktywności. Zgoda powinna być świadoma, jednoznaczna i dobrowolna. Praktyka polegająca na zapisywaniu plików przed wyrażeniem zgody jest niedopuszczalna.
  2. Transparentna informacja o celach i kategoriach cookies: Polityka cookies powinna w prosty i jasny sposób wyjaśniać, do czego służą poszczególne pliki. Nie należy oznaczać jako „niezbędne” cookies wykorzystywanych do personalizacji reklam, łączenia danych z różnych źródeł czy identyfikacji urządzenia. Użytkownik musi wiedzieć, że może odmówić zgody na każdy plik, który nie jest konieczny do świadczenia żądanej usługi.
  3. Skuteczny mechanizm odmowy i wycofania zgody: Strony powinny zapewnić, aby wybór „odmów wszystko” lub „wycofaj zgodę” prowadził do natychmiastowego usunięcia lub dezaktywowania wszystkich cookies wymagających zgody. Należy zastosować techniczne rozwiązania, które uniemożliwią dalszy odczyt. Mechanizm ten powinien być równie prosty jak wyrażenie zgody.
  4. Regularne audyty zgodności: Administratorzy powinni prowadzić cykliczne audyty dotyczące polityki cookies, aby wychwycić niezgodności wynikające z błędów technicznych, zmian w oprogramowaniu czy aktualizacji narzędzi reklamowych. Każda zmiana w systemie zarządzania zgodą powinna być weryfikowana pod kątem zgodności z przepisami i zaleceniami organów nadzorczych.
  5. Przyjęcie rozwiązań „privacy by design”: Już na etapie projektowania portalu należy uwzględnić wymogi art. 7 RODO. Obejmuje to wybór narzędzi analitycznych i reklamowych umożliwiających zarządzanie zgodami, minimalizację zbieranych danych oraz stosowanie domen pierwszej strony w celu ograniczenia transmisji do podmiotów zewnętrznych.
  6. Szkolenia i kultura ochrony danych: Należy organizować regularne szkolenia dla zespołów marketingu, IT i redakcji, aby wszyscy wiedzieli, kiedy stosowanie cookies wymaga zgody oraz jak komunikować się z użytkownikami.
  7. Monitorowanie zmian w przepisach: Należy na bieżąco śledzić zalecenia i adaptować do nich politykę prywatności.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. Traktorowej 170. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO