TL;DR: Francuski organ ochrony danych (CNIL) nałożył na Shein gigantyczną karę 150 milionów euro za systemowe łamanie przepisów o plikach cookie. Firma nie tylko instalowała śledzące ciasteczka bez zgody użytkownika, ale także ignorowała odmowy i wycofanie tej zgody przez użytkowników. Analizujemy, co dokładnie poszło nie tak i dlaczego ta decyzja jest przełomowa dla całego rynku e-commerce (i nie tylko).
Gigant modowy na celowniku – rekordowa kara dla Shein od francuskiego urzędu ochrony danych (CNIL)
Decyzja francuskiego organu nadzorczego Commission Nationale de l’Informatique et des Libertés (CNIL), wydana w ramach postępowania nr SAN-2025-005, wstrząsnęła rynkiem e-commerce. Na spółkę INFINITE STYLES SERVICES CO. LIMITED, operatora europejskich domen Shein, nałożono karę finansową w wysokości 150 milionów euro.
Nie jest to przypadkowa kwota. Stanowi ona wyraz skali i wagi naruszeń, które dotknęły miliony konsumentów, w tym średnio 12 milionów unikalnych odwiedzających serwis miesięcznie z samej Francji w pierwszej połowie 2023 roku. Kara stanowi potężny sygnał dla całej branży, że era beztroskiego gromadzenia danych za pomocą trackerów (pixeli, skryptów) powoli dobiega końca.
Sprawdź również: Audyt zgodności z RODO – jak go przeprowadzić?
Cztery grzechy główne Shein. Analiza naruszeń krok po kroku
Dochodzenie CNIL, którego kulminacją była kontrola przeprowadzona 10 sierpnia 2023 roku, obnażyło cztery fundamentalne warstwy nieprawidłowości. Nie chodziło o pojedyncze potknięcie, lecz o całą architekturę systemu, która w sposób zamierzony lub wynikający z rażącego niedbalstwa naruszała prywatność użytkowników. Analiza wykazała problemy od fundamentalnego braku zgody na instalację trackerów, przez mylący interfejs uniemożliwiający świadomą decyzję, aż po jawne ignorowanie zarówno odmowy, jak i późniejszego wycofania zgody.
Grzech 1: Instalowanie cookies przed uzyskaniem zgody użytkownika
Podstawowym naruszeniem, od którego zaczyna się cała sprawa, było automatyczne instalowanie plików cookie na urządzeniu użytkownika natychmiast po wejściu na stronę shein.com. Zanim użytkownik zdążył podjąć jakąkolwiek decyzję, w jego przeglądarce lądowało dziesięć różnych typów ciasteczek. Wśród nich znajdowały się trackery o jednoznacznie reklamowym charakterze, takie jak _pinterest_ct_ua i muc_ads, które pozwalały na śledzenie aktywności w celach marketingowych. Co więcej, CNIL zidentyfikował także ciasteczka służące do tzw. cappingu (ograniczania wyświetlania tych samych banerów dla konkretnego użytkownika) oraz analityczny cookieId, którego dziesięcioletni okres ważności organ uznał za szczególnie inwazyjny.
Wniosek: Twoje tagi marketingowe (pixele, skrypty) muszą być zintegrowane z wykorzystywaną przez Ciebie platformą CMP (Consent Management Platform). Żaden tag o charakterze marketingowym nie ma prawa uruchomić się przed uzyskaniem jednoznacznej zgody użytkownika. Koniec kropka.
Grzech 2: Zgoda na cookies, która nie była ani dobrowolna, ani świadoma
Shein stosował podwójny, wprowadzający w błąd mechanizm pozyskiwania zgody. Użytkownikowi prezentowano jednocześnie standardowy banner na dole strony oraz agresywny pop-up. O ile banner posiadał opcję „Odrzuć wszystko”, o tyle okno pop-up posiadało jedynie przycisk akceptacji, co mogło sugerować, że zgoda jest warunkiem korzystania z serwisu. Takie podejście sprawiło, że zgoda nie była „dobrowolna”. Nie była również „świadoma”, ponieważ na pierwszym poziomie informacji zabrakło precyzyjnego opisu celów, do jakich wykorzystywane są dane, a także wyczerpującej listy zewnętrznych firm (stron trzecich), które za pośrednictwem strony Shein uzyskiwały dostęp do danych użytkowników.
Grzech 3: Iluzoryczna możliwość odmowy
Dochodzenie wykazało, że nawet jeśli użytkownik postąpił asertywnie i wybrał na banerze opcję „Odrzuć wszystko”, jego wybór był częściowo ignorowany. Mechanizm odmowy był więc nieskuteczny. Mimo wyrażenia sprzeciwu, na urządzeniu wciąż zapisywane i odczytywane były niektóre pliki cookie, w tym te służące do cappingu reklamowego, takie jak hideCouponId_time czy hideCouponWithRequest. W praktyce oznacza to, że platforma nie respektowała woli użytkownika, a funkcja odmowy stanowiła jedynie fasadę, za którą kontynuowano operacje na danych.
Grzech 4: Ignorowanie wycofania zgody przez użytkownika
Najpoważniejszym zarzutem, świadczącym o głębokiej wadliwości systemu, było całkowicie nie działający mechanizm wycofywania zgody. Kontrolerzy CNIL udowodnili, że po tym, jak użytkownik, który wcześniej wyraził zgodę, zdecydował się ją cofnąć, platforma nadal odczytywała wcześniej zainstalowane ciasteczka. Co gorsza, system pozwalał na instalację zupełnie nowych trackerów reklamowych stron trzecich, takich jak plik MUID należący do domeny bing.com. To jawne pogwałcenie prawa do bycia zapomnianym i kontrolowania swoich danych, które sprawiało, że raz udzielona zgoda była w praktyce nieodwracalna.
Sprawdź również: Dlaczego warto przeprowadzić audyt prawny sklepu internetowego?
Linia obrony Shein i miażdżąca odpowiedź CNIL
Shein próbował podważyć jurysdykcję francuskiego organu. Firma argumentowała, że w myśl mechanizmu „jednego okienka” RODO, właściwym do prowadzenia sprawy jest organ irlandzki, ponieważ tam zarejestrowana jest główna europejska siedziba spółki. CNIL odrzucił tę argumentację w całości. Urząd powołał się na koncepcję „establishmentu”, dowodząc, że francuska spółka-córka, INFINITE STYLES ECOMMERCE FRANCE, prowadzi na terenie Francji realną i efektywną działalność marketingową promującą markę Shein. Te działania, choć prowadzone offline (np. pokazy mody, pop-up shopy), są nierozerwalnie związane z działalnością online i przyczyniają się do jej rentowności. W ocenie CNIL, to wystarczyło, aby uznać jego kompetencje do zbadania sprawy i nałożenia kary.
Kara za cookies dla shein.com – skąd wzięła się kwota 150 milionów euro?
Wysokość sankcji nie jest przypadkowa i odzwierciedla zarówno skalę naruszeń, jak i siłę finansową globalnego gracza. CNIL, wymierzając karę, nie oparł się na finansach samej spółki INFINITE STYLES SERVICES CO. LIMITED. Zamiast tego, sięgnął po obroty całej „jednostki gospodarczej” (undertaking), zgodnie z unijnym prawem konkurencji. Oznacza to, że podstawą do wyliczenia maksymalnego pułapu kary był globalny obrót spółki-matki z Singapuru – ROADGET BUSINESS PTE LTD. Ta metodologia, potwierdzona przez orzecznictwo Trybunału Sprawiedliwości UE, ma na celu zapewnienie, aby grzywny były skuteczne, proporcjonalne i odstraszające nawet dla największych międzynarodowych korporacji.
Sprawdź również: Outsourcing funkcji Inspektora Ochrony Danych. Jak możemy Ci pomóc?
Co dalej? Lekcje dla użytkowników i właścicieli e-commerce
Sprawa Shein to ostatni dzwonek, by przestać myśleć o RODO jako o irytującym bannerze wyskakującym na stronie internetowej.
- Zrób audyt skryptów marketingowych: Zapytaj swojego marketera: „Jakie dokładnie skrypty ładują się na naszej stronie? Kto nimi zarządza? Jak są powiązane z systemem do zarządzania zgodami? Czy mamy skonfigurowany consent mode? Czy użytkownik może wycofać zgodę na cookies i czy to REALNIE działa?
- Inwestuj w profesjonalne rozwiązania CMP: Tanie lub darmowe wtyczki często są niewystarczające – najczęściej nie pozwalają one zarządzać zgodami użytkowników. Potrzebujesz profesjonalnego narzędzia, które daje realną kontrolę i pozwala na budowanie audytowalnej historii zgód.
- Przyspiesz przejście na dane first-party: Era third-party cookies powoli się kończy. Zamiast korzystać z naciąganych taktyk, aby pozyskać dane, zacznij na nie zasługiwać. Buduj wartość (świetny content, newsletter, programy lojalnościowe), która sprawi, że klienci sami i chętnie podzielą się z Tobą informacjami.
Obsługa prawna e-Commerce – Kancelaria After Legal
Kancelaria After Legal oferuje usługi prawne na najwyższym poziomie. Znamy specyfikę rynku e-commerce, więc proponujemy rozwiązania dostosowane zarówno pod kątem prawnym, jak i biznesowym. Rozumiemy mechanizmy rynkowe i na bieżąco monitorujemy wszelkie zmiany proponowane zarówno przed ustawodawcę, jak i związane z rozwojem tej gałęzi gospodarki. Obsługa prawna e-commerce to obszar, w którym się specjalizujemy. Zaufaj naszemu doświadczeniu i zadbaj o swój e-biznes.