Πρόστιμο - ρεκόρ για cookies σε Google και SHEIN

1. Εισαγωγή

Η γαλλική αρχή προστασίας δεδομένων (CNIL) εξέδωσε την πιο σημαντική επιβολή κυρώσεων μέχρι σήμερα, επιβάλλοντας συνολικά €475 εκατομμύρια σε πρόστιμα μέσω δύο καμπής αποφάσεων που δημοσιεύτηκαν στις 4 Σεπτεμβρίου 2025. Οι κυρώσεις κατά της Google (€325 εκατομμύρια συνολικά) και των ευρωπαϊκών δραστηριοτήτων της SHEIN (€150 εκατομμύρια) αντιπροσωπεύουν όχι απλώς πρόστιμα-ρεκόρ, αλλά θεμελιώδη μετατόπιση στον τρόπο που οι ρυθμιστικές αρχές προσεγγίζουν τις παραβιάσεις συναίνεσης cookies και ηλεκτρονικού μάρκετινγκ σε ένα όλο και πιο πολύπλοκο ψηφιακό οικοσύστημα.

Οι αποφάσεις αυτές, που προέκυψαν από εκτεταμένες πολυετείς έρευνες, επιδεικνύουν την εξελισσόμενη φιλοσοφία επιβολής της CNIL και παρέχουν κρίσιμες οδηγίες για τη διασταύρωση της Οδηγίας ePrivacy, της συμμόρφωσης με τον GDPR και των αναδυόμενων τεχνολογιών. Για τους νομικούς επαγγελματίες και τους ειδικούς συμμόρφωσης, οι υποθέσεις αυτές προσφέρουν ουσιαστικές γνώσεις για την πορεία του ρυθμιστικού τοπίου και τις αυξημένες προσδοκίες για τους μηχανισμούς ψηφιακής συναίνεσης.

2. Νομικό πλαίσιο και καινοτομία δικαιοδοσίας

2.1. Εδαφική σρμοδιότητα σε διασυνοριακές ψηφιακές υπηρεσίες

Και οι δύο αποφάσεις αναδεικνύουν την εξελιγμένη προσέγγιση της CNIL στη θεμελίωση εδαφικής δικαιοδοσίας επί πολυεθνικών τεχνολογικών εταιρειών. Στην υπόθεση Google, η αρχή απέρριψε τα επιχειρήματα ότι η Επιτροπή Προστασίας Δεδομένων της Ιρλανδίας θα έπρεπε να χειριστεί το θέμα υπό τον μηχανισμό "one-stop-shop" του GDPR, τονίζοντας ότι οι παραβιάσεις της Οδηγίας ePrivacy εμπίπτουν εκτός αυτού του πλαισίου.

Η CNIL στηρίχθηκε στις προηγουμενικές αποφάσεις του Συμβουλίου της Επικρατείας στις υποθέσεις Google LLC (2022) και Amazon Europe Core (2022), που κατέστησαν σαφές ότι η επιβολή που σχετίζεται με cookies παραμένει στην αρμοδιότητα των εθνικών αρχών ανεξάρτητα από τον διασυνοριακό χαρακτήρα μιας υπηρεσίας. Αυτή η δικαιοδοτική προσέγγιση επιτρέπει στην CNIL να αντιμετωπίζει παραβιάσεις που επηρεάζουν Γάλλους χρήστες άμεσα, χωρίς να εμπλέκεται σε ενδεχομένως χρονοβόρες διαδικασίες διασυνοριακής συνεργασίας.

2.2. Το δόγμα της «Οικονομικής Εγκατάστασης»

Και στις δύο υποθέσεις, η CNIL εφάρμοσε μια επεκτατική ερμηνεία του τι συνιστά «γαλλική εγκατάσταση» για δικαιοδοτικούς σκοπούς. Για τη SHEIN, η αρχή διαπίστωσε ότι η INFINITE STYLES ECOMMERCE FRANCE συνιστούσε εγκατάσταση του ιρλανδού υπευθύνου επεξεργασίας INFINITE STYLES SERVICES CO. LIMITED, παρά την απουσία άμεσων νομικών σχέσεων ιδιοκτησίας. Η απόφαση στηρίχθηκε στην οικονομική ενσωμάτωση των εταιρειών εντός του ίδιου εταιρικού ομίλου και στους κοινούς εμπορικούς τους στόχους.

Αυτή η προσέγγιση της «οικονομικής εγκατάστασης», αντλώντας από τις αρχές του ευρωπαϊκού δικαίου ανταγωνισμού, επιτρέπει στους ρυθμιστές να διαπεράσουν εταιρικές δομές που διαφορετικά θα μπορούσαν να προστατεύσουν ξένες οντότητες από την τοπική επιβολή. Οι επιπτώσεις εκτείνονται πέρα από την προστασία δεδομένων, επηρεάζοντας ενδεχομένως τον τρόπο που οι πολυεθνικές εταιρείες δομούν τις ευρωπαϊκές τους δραστηριότητες.

3. Συγκατάθεση για cookies: Πέρα από την τεχνική συμμόρφωση

3.1. Η εξέλιξη των προτύπων «ελεύθερης» συγκατάθεσης

Η απόφαση Google παρέχει την πιο ολοκληρωμένη ανάλυση μέχρι σήμερα του τι συνιστά γνήσια «ελεύθερη» συγκατάθεση στο πλαίσιο των cookie walls. Πριν από τον Οκτώβριο 2023, η διαδικασία δημιουργίας λογαριασμού της Google απαιτούσε έξι κλικ για την άρνηση εξατομικευμένων cookies διαφήμισης σε σύγκριση με μόλις δύο κλικ για την αποδοχή τους. Η CNIL διαπίστωσε ότι αυτή η ασυμμετρία υπονόμευε θεμελιωδώς την επιλογή του χρήστη, ανεξάρτητα από το εάν υπήρχε τεχνική δυνατότητα άρνησης.

Η απόφαση βασίζεται στις οδηγίες του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων για τα μοντέλα «συγκατάθεση ή πληρωμή», τονίζοντας ότι η εγκυρότητα της συναίνεσης εξαρτάται όχι απλώς από τη διαθεσιμότητα εναλλακτικών, αλλά από την πρακτική τους προσβασιμότητα και την απουσία χειραγωγικών σχεδιαστικών μοτίβων. Αυτό το πρότυπο αυξάνει σημαντικά τον πήχη για τις πλατφόρμες που επιδιώκουν να κερδοσκοπήσουν μέσω διαφήμισης ενώ ισχυρίζονται ότι έχουν έγκυρη συναίνεση.

3.2. Απαιτήσεις διαφάνειας πληροφοριών

Και οι δύο αποφάσεις αποκαλύπτουν την όλο και πιο απαιτητική προσέγγιση της CNIL στη διαφάνεια συναίνεσης. Στην υπόθεση SHEIN, η αρχή διαπίστωσε πολλαπλές ελλείψεις πληροφοριών, συμπεριλαμβανομένων:

• Αποτυχία σαφούς εξήγησης ότι η πρόσβαση στην υπηρεσία απαιτεί αποδοχή cookies διαφήμισης,
• Ανεπαρκής αναγνώριση παρόχων cookies τρίτων,
• Παραπλανητική ορολογία που υποδηλώνει προαιρετική συναίνεση όταν η αποδοχή cookies ήταν στην πραγματικότητα υποχρεωτική.

Η απόφαση Google πήγε περαιτέρω, απαιτώντας ρητή πληροφόρηση ότι τα cookies διαφήμισης «απαραίτητα» εγκαθίστανται κατά τη δημιουργία λογαριασμού. Αυτή η διατύπωση υποδηλώνει ότι η ασαφής ή υπονοούμενη αποκάλυψη της χρήσης cookies δεν θα ικανοποιεί πλέον τις ρυθμιστικές προσδοκίες.

4. Ηλεκτρονική προώθηση: επέκταση ρυθμιστικού πεδίου

4.1. Η Απόφαση για τη διαφήμιση Gmail: Μια αλλαγή παραδείγματος

Ίσως η πιο νομικά σημαντική πτυχή της απόφασης Google αφορά την ηλεκτρονική διαφήμιση εντός του Gmail. Η CNIL εφάρμοσε την απόφαση του Δικαστηρίου της Ευρωπαϊκής Ένωσης StWL (2021) για να διαπιστώσει ότι οι διαφημίσεις που εισάγονται μεταξύ emails συνιστούν ηλεκτρονική προώθηση που απαιτεί προηγούμενη συναίνεση, ακόμη και όταν εμφανίζονται σε αφιερωμένες καρτέλες «Προωθήσεις» ή «Κοινωνικά Δίκτυα».

Αυτή η ερμηνεία επεκτείνει δραματικά το πεδίο της ρύθμισης ηλεκτρονικής προώθησης πέρα από το παραδοσιακό email marketing. Η απόφαση καθιστά σαφές ότι οποιοδήποτε διαφημιστικό περιεχόμενο εμφανίζεται εντός της ιδιωτικής διεπαφής μηνυμάτων ενός χρήστη απαιτεί ρητή συναίνεση, ανεξάρτητα από οπτικές διακρίσεις ή λεπτομέρειες τεχνικής υλοποίησης.

4.2. Τεχνική υλοποίηση έναντι εμπειρίας χρήστη

Η CNIL απέρριψε το επιχείρημα της Google ότι οι διαφημίσεις Gmail θα έπρεπε να ξεφύγουν από τους κανόνες προώθησης επειδή δεν συνιστούν τεχνικά "emails". Αντίθετα, η αρχή επικεντρώθηκε στην εμπειρία χρήστη και στις λογικές προσδοκίες απορρήτου εντός των διεπαφών μηνυμάτων. Αυτή η λειτουργική προσέγγιση υποδηλώνει ότι οι ρυθμιστές θα εξετάζουν όλο και περισσότερο τις διαφημιστικές πρακτικές βάσει της πρακτικής τους επίδρασης παρά της τεχνικής τους κατηγοριοποίησης.

5. Φιλοσοφία επιβολής και υπολογισμός ποινών

5.1. Η έννοια της «Επιχείρησης» στις κυρώσεις

Και οι δύο αποφάσεις επιδεικνύουν την υιοθέτηση από την CNIL των αρχών του ευρωπαϊκού δικαίου ανταγωνισμού για τον υπολογισμό διοικητικών προστίμων. Αντί να περιορίσει τις ποινές στις συγκεκριμένες θυγατρικές που ευθύνονται για τις παραβιάσεις, η αρχή εξέτασε τον κύκλο εργασιών ολόκληρου του εταιρικού ομίλου όταν καθόριζε αναλογικές κυρώσεις.

Για τη Google, αυτό σήμαινε εξέταση του κύκλου εργασιών €312 δισεκατομμυρίων της Alphabet Inc. παρά περιορισμό των υπολογισμών στις άμεσα υπεύθυνες οντότητες. Αυτή η προσέγγιση, που επικυρώθηκε από το Δικαστήριο της ΕΕ σε πρόσφατες αποφάσεις, επιτρέπει στους ρυθμιστές να επιβάλλουν πραγματικά αποτρεπτικές ποινές στις πολυεθνικές τεχνολογικές εταιρείες.

5.2. Επιβαρυντικοί και ελαφρυντικοί παράγοντες

Οι αποφάσεις αποκαλύπτουν εξελιγμένους υπολογισμούς ποινών που εξετάζουν πολλαπλούς παράγοντες:

5.2.1. Επιβαρυντικοί παράγοντες:

• Προηγούμενες παραβιάσεις (η Google είχε κυρωθεί το 2021 για παρόμοια ζητήματα cookies)
• Κυριαρχία στην αγορά και τεχνολογική εξελιγμένη
• Οικονομικά οφέλη που προέκυψαν από μη συμβατές πρακτικές
• Μαζική κλίμακα που επηρεάζει εκατομμύρια χρήστες

5.2.2. Ελαφρυντικοί παράγοντες:

• Μερικές προσπάθειες συμμόρφωσης κατά τη διάρκεια των διαδικασιών
• Συνεργασία με τις έρευνες
• Τεχνικές τροποποιήσεις για μείωση της σύγχυσης χρηστών

6. Πρακτικές επιπτώσεις για ψηφιακές επιχειρήσεις

6.1. Άμεσες προτεραιότητες συμμόρφωσης

Οι οργανισμοί που δραστηριοποιούνται στη Γαλλία αλλά και ευρύτερα στον Ε.Ο.Χ. πρέπει να επαναξιολογήσουν τους μηχανισμούς ψηφιακής συναίνεσής τους υπό το φως αυτών των αποφάσεων:

• Διεπαφές Συγκατάθεσης Cookies: Εξασφάλιση ίσης προβολής και προσβασιμότητας για τις επιλογές αποδοχής και άρνησης
• Διαφάνεια Πληροφοριών: Παροχή ρητής, αδιαμφισβήτητης αποκάλυψης των απαιτήσεων cookies διαφήμισης
• Αναγνώριση Τρίτων: Σαφής αναγνώριση όλων των οντοτήτων που μπορεί να έχουν πρόσβαση σε δεδομένα χρηστών μέσω cookies
• Εναλλακτικές Υπηρεσίες: Εξέταση του κατά πόσον υπάρχουν γνήσια ισοδύναμες εναλλακτικές για χρήστες που αρνούνται cookies

6.2. Email marketing και διαφήμιση πλατφόρμας

Οι επιπτώσεις της απόφασης για το Gmail εκτείνονται πολύ πέρα από τη Google. Οποιαδήποτε πλατφόρμα εμφανίζει διαφημιστικό περιεχόμενο εντός διεπαφών επικοινωνίας χρηστών θα πρέπει να εξετάσει εάν απαιτείται ρητή συναίνεση προώθησης. Αυτό περιλαμβάνει:

• Πλατφόρμες κοινωνικών μέσων που εμφανίζουν διαφημίσεις εντός ροών μηνυμάτων,
• Παρόχους email που εμφανίζουν προωθητικό περιεχόμενο,
• Εργαλεία επικοινωνίας με ενσωματωμένες διαφημιστικές δυνατότητες.

6.3. Σχεδιαστικές και UX εκτιμήσεις

Και οι δύο αποφάσεις τονίζουν ότι η συμμόρφωση εκτείνεται πέρα από τη νομική τεκμηρίωση για να περιλαμβάνει το σχεδιασμό διεπαφής χρήστη. Τα «σκοτεινά μοτίβα» που χειραγωγούν την επιλογή χρήστη μέσω σχεδιασμού θα αντιμετωπίσουν αυξανόμενη ρυθμιστική εξέταση. Οι οργανισμοί θα πρέπει να ελέγξουν τις ροές συναίνεσής τους για:

• Οπτική ισότητα μεταξύ επιλογών αποδοχής και άρνησης,
• Σαφή, αδιαμφισβήτητη γλώσσα που αποφεύγει χειραγωγική ορολογία,
• Λογική ροή πληροφοριών που επιτρέπει ενημερωμένη λήψη αποφάσεων.

7. Συμπέρασμα

Οι αποφάσεις της CNIL σηματοδοτούν μια ωρίμανση στην ενωσιακή εφαρμογή του πλαισίου περί προστασίας προσωπικών δεδομένων, μετακινούμενες πέρα από την πρώιμη υλοποίηση του ΓΚΠΔ προς εξελιγμένη, τεχνολογικά ενημερωμένη ρύθμιση. Τα €350 (Google) και €125 (Shein) εκατομμύρια αντικατοπτρίζουν όχι απλώς τιμωρητική επιβολή, αλλά μια ρυθμιστική στρατηγική σχεδιασμένη να αναδιαμορφώσει τις βιομηχανικές πρακτικές μέσω οικονομικών κινήτρων.

Για τους νομικούς επαγγελματίες, οι αποφάσεις αυτές παρέχουν ουσιαστικές οδηγίες σε πολλά μέτωπα:

1. Επιβεβαιώνουν ότι η δικαιοδοτική πολυπλοκότητα δεν μπορεί να προστατεύσει πολυεθνικές εταιρείες από την τοπική επιβολή όταν οι υπηρεσίες στοχεύουν τοπικούς χρήστες.

2. Καθιστούν σαφές ότι η γνήσια συγκατάθεση απαιτεί περισσότερα από τεχνική συμμόρφωση—απαιτεί σχεδιασμό που εστιάζει στον χρήστη και σέβεται την ατομική αυτονομία.

Ίσως πιο σημαντικά, οι αποφάσεις αυτές επιδεικνύουν την προθυμία των ρυθμιστών να εφαρμόσουν λειτουργική παρά τυπική ανάλυση στις ψηφιακές πρακτικές. Είτε αντιμετωπίζοντας cookie walls, διαφήμιση email, ή εταιρική δομή, η CNIL εστίασε στην πρακτική επίδραση παρά στην τεχνική κατηγοριοποίηση.

Καθώς η ψηφιακή οικονομία συνεχίζει να εξελίσσεται, οι αποφάσεις αυτές παρέχουν έναν οδικό χάρτη για συμμόρφωση που δίνει προτεραιότητα στην ουσία έναντι της μορφής. Οι οργανισμοί που αγκαλιάζουν αυτή την προσέγγιση—σχεδιάζοντας υπηρεσίες που γνήσια σέβονται την επιλογή χρήστη παρά απλώς ικανοποιώντας τεχνικές απαιτήσεις—θα είναι καλύτερα τοποθετημένοι για να πλοηγηθούν στο όλο και πιο εξελιγμένο τοπίο επιβολής του δικαίου προστασίας προσωπικών δεδομένων.

Το μήνυμα από αυτές τις αποφάσεις είναι σαφές: η εποχή όπου η προστασία προσωπικών δεδομένων αποτελεί μεταγενέστερη σκέψη στον ψηφιακό σχεδιασμό προϊόντων έχει οριστικά τελειώσει. Το ερώτημα για τις επιχειρήσεις δεν είναι εάν να δώσουν προτεραιότητα στο να συμμορφωθούν, αλλά πόσο γρήγορα μπορούν να προσαρμόσουν τις πρακτικές τους για να ανταποκριθούν στις εξελισσόμενες προσδοκίες των ρυθμιστών.

Για το Δικηγορικό Γραφείο «Στέργιος Κωνσταντίνου & Συνεργάτες

– SGKLegal»

Στέργιος Κωνσταντίνου Δικηγόρος, Advanced LLM (IP & ICT Law) CIPP/E, CIPM, FIP

Εύα Πίτση Ασκούμενη Δικηγόρος, LLM