Zpět na novinky

CNIL: pokuta €3,5 milionu za sdílení zákaznických dat se sociální sítí

· Waulter tým
CNIL GDPR pokuta cookies souhlas marketing cílená reklama

Co se stalo

Dne 30. prosince 2025 udělil francouzský dozorový úřad CNIL pokutu ve výši 3,5 milionu eur společnosti Intersport za několik porušení GDPR a pravidel pro cookies. Rozhodnutí bylo zveřejněno 22. ledna 2026.

Společnost od února 2018 pravidelně předávala e-mailové adresy a telefonní čísla členů svého věrnostního programu sociální síti za účelem cíleného marketingu. Dotčeno bylo více než 10,5 milionu osob.

Pět klíčových porušení

1. Předání dat bez právního titulu

Intersport předával osobní údaje zákazníků sociální síti pro párování s uživatelskými účty a cílení reklamy. Společnost se odvolávala na souhlas získaný při registraci do věrnostního programu, ale zákazníci nikdy nebyli jasně informováni, že jejich data budou sdílena se sociální sítí pro reklamní účely.

Souhlas s příjmem marketingových SMS a e-mailů neznamená souhlas se sdílením dat s třetími stranami pro cílenou reklamu na sociální síti.

2. Neúplné informace o zpracování

Na registračním formuláři věrnostního programu chyběla informace o předávání dat sociální síti. Dokumenty na webu společnosti buď předávání dat vůbec nezmiňovaly, nebo neuvedly jasně jeho účel. Bez řádných informací nemůže být souhlas platný.

3. Nedostatečné zabezpečení hesel

Společnost používala pouze hashovací funkci SHA-256 pro ukládání hesel. CNIL konstatoval, že SHA-256 není dostatečně bezpečná — stav techniky vyžaduje pomalé hashovací funkce jako Argon2 nebo bcrypt, které účinněji odolávají brute-force útokům.

4. Chybějící DPIA

Intersport neprovedl posouzení vlivu na ochranu osobních údajů (DPIA) před nasazením cíleného marketingu na sociální síti, přestože šlo o rozsáhlé zpracování dat z různých zdrojů s vysokým rizikem pro práva subjektů údajů.

5. Cookies bez souhlasu — i po odmítnutí

Jedenáct cookies vyžadujících souhlas se nastavovalo na zařízeních uživatelů ještě předtím, než uživatel udělil souhlas. A když uživatel souhlas odmítl, cookies nebyly smazány a nadále se četly.

Toto je přímé porušení ePrivacy pravidel — a přesně typ problému, který správně nastavená CMP platforma eliminuje.

Výše pokuty

Porušení Částka
GDPR porušení (čl. 5, 13, 25, 32, 35) 2 500 000 €
Cookie porušení (ePrivacy) 1 000 000 €
Celkem 3 500 000 €

Rozhodnutí bylo přijato v koordinaci s 16 evropskými dozorovými úřady, protože se týkalo dat osob z více členských států.

Co to znamená pro české firmy

Tento případ je varováním pro každou firmu, která:

  • Sdílí zákaznická data s reklamními platformami — Facebook Custom Audiences, Google Customer Match a podobné nástroje vyžadují explicitní, informovaný souhlas.
  • Spoléhá na „obecný" marketingový souhlas — souhlas s e-mailovým marketingem nepokrývá sdílení dat se třetími stranami.
  • Nemá správně nastavenou cookie lištu — cookies nastavené před souhlasem nebo přetrvávající po odmítnutí jsou přímé porušení.

Přeshraniční dosah

CNIL může pokutovat i společnosti sídlící mimo Francii, pokud zpracovávají data francouzských občanů. Koordinace s 16 DPA ukazuje, že přeshraniční vymáhání funguje.

Jak se chránit

  • Cookie lišta, která skutečně blokuje — žádné cookies před souhlasem, žádné cookies po odmítnutí.
  • Transparentní informace — jasně uveďte, s kým a proč data sdílíte.
  • DPIA před nasazením — u rozsáhlého zpracování dat z více zdrojů je DPIA povinná.
  • Moderní zabezpečení — bcrypt nebo Argon2 pro hesla, šifrování dat v klidu i při přenosu.

Waulter CMP zajišťuje, že se na vašem webu nenastaví žádné cookies bez platného souhlasu — a po odmítnutí je kompletně odstraní. Crawler automaticky ověřuje, že se na webu neobjevují trackery před souhlasem.


Zdroje: CNIL — rozhodnutí ze dne 30. 12. 2025 (zveřejněno 22. 1. 2026), DataGuidance, CyberNews, Aphaia, Forvis Mazars

Chcete mít souhlas pod kontrolou?

Waulter CMP vám pomůže se správou souhlasů, GDPR compliance a ochranou osobních údajů.