Francuska Krajowa Komisja ds. Informatyki i Wolności (CNIL) nałożyła kary w wysokości 150 mln euro dla Google i 60 mln euro dla Facebooka za niedostosowanie polityki plików cookies do standardów prawnych wynikających z francuskiej ustawy o ochronie danych osobowych.
Istota sprawa (i nałożonej kary) dotyczyła braku możliwości równie łatwego wycofania zgód na wykorzystanie plików cookies, jak łatwe było ich wyrażenie. W wyniku przeprowadzonego postępowania stwierdzono, że na portalach facebook.com, google.fr i youtube.com, istnieje możliwość łatwego zaakceptowania „ciasteczek” poprzez jedno kliknięcie. W przypadku chęci cofnięcia zgody należy natomiast wykonać kilka kliknięć. Powyższe utrudnienie może wpłynąć na wybór użytkownika poprzez wybór prostszego i szybszego rozwiązania i jest sprzeczne z zasadami wynikającymi z art. 7 i 12 RODO.
CNIL oprócz kar pieniężnych nałożonych na powyższe podmioty, zobowiązał je także do dopasowania działań stron internetowych w przedmiocie funkcjonowania plików cookies do wymogów prawnych, dając na to 3 miesiące. Za każdy dzień zwłoki ma zostać nałożona dodatkowa kara w wysokości 100 tys. euro.
Należy zauważyć, że nie jest to pierwsza decyzja wydana w sprawie polityki plików cookies nakładająca karę pieniężną na giganta. CNIL nałożył już wcześniej karę w wysokości 100 mln euro na Google za nieprawidłowości w polityce plików cookies. Google co prawda odwołał się od decyzji, ale bezskutecznie. Wydaje się, że w obecnym przypadku Google jest bardziej skore do współpracy. Amerykański gigant zapowiedział już bowiem podjęcie kroków w kierunku zmiany funkcjonalności stron i pozostaje w kontakcie z francuskim organem.
Pozostaje nam czekać na dalszy rozwój wydarzeń. Jeśli podmioty rzeczywiście wywiążą się z narzuconych na nie obowiązków być może zapoczątkuje to podjęcie podobnych kroków w innych państwach Unii i powszechnie zmieni podejście do funkcjonalności związanych z wykorzystaniem danych zawartych w plikach cookies. Przełomem w tym zakresie może być także ostateczne wejście w życie przepisów tzw. dyrektywy ePrivacy.