CNIL – francuski odpowiednik Urzędu Ochrony Danych Osobowych opublikował dziś komunikat o nałożeniu kary 50 milionów € na Google LLC za złamanie przepisów Ogólnego Rozporządzenia o Ochronie Danych (GDPR) znanego w Polsce jako RODO.
Kara to skutek skarg wniesionych w maju 2018 roku przez organizację noyb, o której już wspominaliśmy.
Zgoda użytkownika na zbieranie danych była zbiorowa
Według CNIL Google wymagało wyrażenia zgody na akceptacje zbierania wszystkich danych zbiorowo, w momencie założenia konta, co jest sprzeczne z rozporządzeniem – zgody na cele reklamowe powinny być wyrażone świadomie i oddzielnie, dla każdego specyficznego celu.
Zgoda na personalizację reklam była wstępnie zaznaczona
CNIL zauważył, że podczas tworzenia konta Google istnieje możliwość zmiany konfiguracji personalizacji reklam (zakładka More Options) jednak opcja jest wstępnie zaznaczona.
Jeśli zgoda na personalizację reklam oznacza jednocześnie zgodę na przesyłanie danych do dostawców tych reklam (a taka była linia obrony Google), to jest to sprzeczne z obowiązującymi przepisami.
Użytkownik nie dostał wystarczającej informacji o odbiorcach danych
Kolejny zarzut to zbyt ogólne informowanie użytkownika o odbiorcach danych osobowych oraz utrudnianie dostępu do takich informacji jak kategorie danych, czy okresy retencji.
W uzasadnieniu można przeczytać, że użytkownik musiał przeklikiwać się przez 5 czy 6 poziomów odnośników, zanim dotarł do tych informacji.
Google LLC, nie Google Irleand Ltd
Co warte zauważenia: pomimo wskazania w obowiązujących regulaminach Google Ireland Ltd jako jednostki prawnej odpowiedzialnej za przetwarzanie danych osobowych osób z Europy, kara została zasądzona dla jednostki faktycznie świadczących usługi reklamowe dla użytkowników telefonów z systemem Android, czyli Google LLC.
Jak widać, taki model próby ochrony przed skutkami naruszeń regulacji przy przetwarzaniu danych danych przez firmy spoza Europejskiego Obszaru Gospodarczego nie działa.