De Franse gegevensbeschermingsautoriteit heeft drie grote bedrijven, Google, Shein en PayPal, samen €486 miljoen beboet wegens schendingen van de nationale privacywetgeving die het gebruik van persoonsgegevens regelt. De sancties volgen op onderzoeken naar hoe de bedrijven informatie verzamelden en deelden van de apparaten van gebruikers voor reclame- en analysedoeleinden, zonder voldoende juridische basis of transparantie.
De Franse gegevensbeschermingsautoriteit, Commission Nationale de l’Informatique et des Libertés (CNIL), zei dat Google’s boete van €250 miljoen gekoppeld was aan het gebruik van gegevens die van Android-apparaten van gebruikers zijn verzameld voor gerichte reclame. CNIL stelde vast dat Google geen geldige toestemming van gebruikers had verkregen voor bepaalde verwerkingsoperaties en er niet in slaagde duidelijke en toegankelijke informatie over die activiteiten te presenteren.
Shein, de online modewinkel, kreeg een boete van €150 miljoen in verband met zijn mobiele applicatie en website. CNIL zei dat het tekortkomingen heeft vastgesteld in hoe Shein gebruikers informeerde over het verzamelen van persoonlijke informatie en hoe die gegevens werden gebruikt voor gepersonaliseerde marketing. De toezichthouder wees ook op onvoldoende mechanismen om toestemming van gebruikers te verkrijgen.
PayPal kreeg een boete van €86 miljoen voor gegevenspraktijken waarbij gebruikersgegevens zonder juiste juridische basis werden verwerkt en het niet voldoende transparant was over het delen van persoonlijke informatie met derden. CNIL zei dat de overtredingen gebruikers in heel Frankrijk troffen en merkte op dat het niveau van de boetes zowel de omvang van de bedrijfsactiviteiten als de duur van niet-conforme verwerking weerspiegelde.
Volgens de Algemene Verordening Gegevensbescherming (AVG) van de EU en de nationale Franse gegevensbeschermingswet moeten organisaties duidelijke informatie aan gebruikers verstrekken over hoe hun persoonsgegevens worden verzameld, verwerkt en gedeeld. CNIL zei dat de privacyverklaringen en toestemmingsmechanismen van de bedrijven niet aan die eisen voldeden.
CNIL zei dat het factoren heeft meegenomen zoals het aantal getroffen gebruikers, de aard van de betrokken gegevens en de duur van de overtredingen bij het bepalen van de omvang van elke boete. De toezichthouder stelde ook termijnen op voor de bedrijven om hun gegevensverwerkingspraktijken in overeenstemming te brengen en waarschuwde dat er verdere sancties kunnen volgen als de problemen aanhouden.
Alle drie de bedrijven zeiden dat ze de beslissingen herzien en mogelijk aspecten van de bevindingen betwisten. Google zei zich in te zetten voor de privacy van gebruikers en werkt zijn beleid en tools voortdurend bij. Shein zei dat het in contact treedt met toezichthouders en werkt aan het afstemmen van zijn praktijken op de toepasselijke wetgeving. PayPal zei dat het gegevensbescherming serieus neemt en de uitspraak zal beoordelen.
Privacyvoorstanders verwelkomden de boetes als een herbevestiging van de bevoegdheid van toezichthouders om transparantie en toestemmingseisen af te dwingen. Zij zeiden dat duidelijke en toegankelijke informatie over datagebruik essentieel is voor gebruikerscontrole over persoonlijke informatie in digitale diensten.
De actie van CNIL maakt deel uit van een bredere regelgevende inspanning in Europa dit jaar om technologie- en e-commerceplatforms verantwoordelijk te houden voor gebruikersprivacypraktijken. De handhaving van de AVG en gerelateerde nationale regels heeft de controle op hoe bedrijven persoonlijke gegevens gebruiken voor reclame, analyses en gepersonaliseerde diensten vergroot.