50 mln euro kary dla Google za naruszenie RODO
21 stycznia francuski urząd ochrony danych – CNIL – nałożył karę w wysokości 50 mln euro na firmę Google. To najwyższa jak dotąd kara finansowa nałożona na podstawie RODO. CNIL uznał, że firma nie informuje użytkowników przejrzyście i nie uzyskuje zgód w odpowiedni sposób. Tylko dlaczego karę nałożył akurat francuski organ? I czy Google nie będzie tego podważać? Oto istotne teraz pytania.
Chciałoby się powiedzieć “BUM”.
Zanim omówimy najnowszą karę dla Google pozwolimy sobie na małą retrospekcję. Już w roku 2014 Google dostała karę od CNIL za niezrozumiałą politykę prywatności. Problem w tym, że wysokość kary wynosiła… 150 tys. euro. W tym samym czasie roczny zysk Google przekraczał 2 mld dolarów. Było to okazją do żartów, że Google nie będzie miało na waciki :).
Kto się poskarżył?
Tym razem firmie Google grozi pokaźna kara (#boRODO). Jest to efekt skarg, które do CNIL trafiły już w dniach 25-28 maja. Pierwszą skargę wystosowała grupa None Of Your Business (NYOB) z Maksem Schremsem na czele. Jeśli nie znacie Maksa, oto on:
Max Schrems (fot. na lic. CC BY-SA 3.0)
Ten względnie młody człowiek ma już na koncie głośny mega-pozew przeciwko Facebookowi i to częściowo dzięki niemu doszło do podważenia przez Trybunał Sprawiedliwości UE decyzji ws. Safe Harbour. W efekcie trzeba było opracować nowe porozumienie ws. przesyłania danych osobowych do USA. Nic dziwnego, że Max uwziął się także na Google.
Drugi podmiot skarżący się na Google do CNIL to grupa obywatelska La Quadrature du Net (“LQDN”), która już nie raz mobilizowała internet do protestów (np. miała duży udział w nagłośnieniu ACTA). Pod skargą LQDN podpisało się 12 tys. osób. Aktywiści podnieśli, że Google tak naprawdę nie ma mocnych podstaw prawnych do przetwarzania danych użytkowników.
Co istotne, skargi dotyczyły tworzenia kont Google na smartfonach i tego procesu dotyczyło przeprowadzone postępowanie. To dość istotny szczegół, za chwilę zrozumiecie dlaczego.
Co zrobił CNIL (i dlaczego on?)
CNIL zabrał się do pracy zaraz po otrzymaniu skarg i tutaj drobna, acz ważna uwaga. Przyjęty w RODO mechanizm “one-stop-shop” wymaga, aby postępowanie prowadził organ z tego kraju UE, w którym firma ma główną siedzibę. Tak się składa, że Google ma siedzibę w Irlandii co jest dla giganta wygodne bo organ ochrony danych tego kraju jest zalany skargami i cierpi na niedobór pracowników. CNIL uznał jednak, że w momencie uruchomienia postępowania siedziba w Irlandii nie miała charakteru “decyzyjnego” w kwestii usług świadczonych przez Androida. Takie rozumowanie pozwoliło ominąć mechanizm “one-stop-shop” i sprawą mógł zająć się CNIL.
Francuski urząd przeanalizował dokumenty i przeprowadził “inspekcje online”. Odnotował następujące problemy:
- Informacje o przetwarzaniu danych nie były przedstawione przejrzyście. Rozbito je na różne dokumenty i użytkownik może mieć problem z ustaleniem np. czasu przetwarzania danych lub kategorii danych użytych do personalizacji. Nierzadko użytkownik musi wykonać kilka czynności, nawet 5 lub 6, aby dotrzeć do wymaganej informacji.
- Część informacji nie jest ani jasna ani wyczerpująca.
- Cele przetwarzania danych opisano w sposób “zbyt ogólny i niejasny”, a przecież mówimy o firmie dostarczającej około 20 różnych usług. Dla niektórych danych w ogóle nie podano informacji o czasie przetrzymywania. W niektórych przypadkach użytkownik może nie mieć pewności, czy dane są przetwarzane na podstawie zgody czy na podstawie uzasadnionego interesu dostawcy usługi.
Poza tym CNIL miał zastrzeżenia co do ważności zgód uzyskiwanych przez Google, gdyż:
- zgoda powinna być wyrażana przez osobę odpowiednio poinformowaną, a w przypadku Google użytkownicy nie wiedzą zbyt wiele. Przykładowo w rozdziale o personalizacji reklam Google wcale nie dąży do uświadomienia ludziom jak wielu usług to dotyczy.
- Udzielone zgody nie są jednoznaczne. Użytkownicy zgadzali się ogólnie na warunki Google i Politykę Prywatności, ale RODO wymaga osobnej zgody dla każdego celu przetwarzania. Owszem, użytkownik może się przeklinać do dodatkowych ustawień, ale według RODO zgoda nie powinna być wyrażona poprzez samo klepnięcie czegoś, co podsunięto nam pod nos (inna rzecz, że to i tak powszechna na rynku praktyka).
CNIL podkreślił, że naruszenie nie miało charakteru jednorazowego. Oczywiście wzięto to pod uwagę przy określaniu wysokości kary. Komunikat CNIL w tej sprawie znajdziecie na stronie urzędu (także w wersji angielskiej).
I co teraz?
Firma Google w reakcji na pytania przesyłała do mediów poniższe oświadczenie.
People expect high standards of transparency and control from us. We’re deeply committed to meeting those expectations and the consent requirements of the GDPR. We’re studying the decision to determine our next steps.
Należy to odczytać jako “jeszcze nie wiemy co robić”. Prędzej czy później Google będzie musiał zająć jakieś stanowisko, czyli albo podważyć to co mówi CNIL, albo lekko się ugiąć i przyznać do pewnych błędów. Trudno jednak uwierzyć, że taki gigant zapłaci 50 mln euro bez walki. Jak zauważyła grupa LQDN, firma ustaliła swoją główną siedzibę na Irlandię i w sporze sądowym może podnosić m.in. kwestię kompetencji CNIL.
Tymczasem aktywiści szykują kolejne skargi. Organizacja Maksa Schremsa poskarżyła się także na YouTube. Tymczasem Privacy International skarży się m.in. na firmy Acxiom, Oracle, Criteo, Quantcast i Experian. Te skargi dotyczą głównie nadmiernego profilowania. Można powiedzieć, że CNIL w pewien sposób przełamał lody i kolejne urzędy ochrony danych mogą odczuć większą śmiałość w nakładaniu kar, a okazji ku temu nie zabraknie.
Jedna brutalnie szczera opinia
Ludzie lubią pewne atrakcyjne iluzje. Jedną z nich jest udawanie, że wszyscy świadomie zgodziliśmy się na warunki firm takich jak Google czy Facebook. Spójrzmy jednak prawdzie w oczy – większość z nas nie czytała polityk prywatności i nie starała się ich zrozumieć. Owszem, czytali je w przeszłości eksperci, ale oni mieli wątpliwości jak to wszystko rozumieć. Niektórzy mówią, że największym kłamstwem internetu jest zdanie “przeczytałem i akceptuję regulamin”.
Ta atrakcyjna iluzja właśnie pęka. CNIL po raz kolejny sygnalizuje, że większość ludzi nie wie na co się zgadza i nie można tego wiecznie tolerować. Problem nie dotyczy tylko Google. Wiele innych firm narusza ideę RODO jeśli chodzi o uzyskiwanie zgód. Nagminne jest uzyskiwanie zgody poprzez kliknięcie w przycisk “Przejdź do serwisu”. Widzieliśmy jednak bardziej absurdalne rzeczy, o których mamy osobny tekst.
Google mocno oberwała, ale wcale nie był to cios z zaskoczenia. Europejskie organy ochrony danych od dawna starały się naciskać na giganta w kwestii większej przejrzystości. Najpierw były to działania “miękkie”, a potem śmieszna kara, którą bogata firma nie musiała się przejmować. Teraz już nikomu nie jest do śmiechu i takie było założenie twórców RODO.
Wiadomość o karze dla Google powinna dać do myślenia licznym mniejszym firmom. To sygnał, że “szara strefa RODO” nie będzie tolerowana wiecznie.
Źródło: niebezpiecznik.pl
Więcej informacji:
Prezes UODO nałożył pierwszą karę pieniężną na podmiot publiczny
Kara za niewystarczające zabezpieczenia organizacyjne i techniczne- Kolejna kara RODO
Dane tysięcy polskich klientów AliExpress były dostępne w sieci- Sąd przyznał rację Prezesowi UODO. Wysokość nałożonej kary administracyjnej do ponownej analizy
Czynności kontrolne w Virgin Mobile Polska
Prezes UODO przypomina, że dziennikarze muszą chronić osoby, których dane przetwarzają- Uber ukarany grzywną 492 tys. USD
- Dane 36 000 użytkowników księgarni XLM.pl wyciekły i ktoś chciał je sprzedać
Branie dowodu osobistego pod zastaw np. za wypożyczony sprzęt narciarski jest nielegalne