CNIL vs Google – pierwsza, poważna kara za naruszenie przepisów RODO

CNIL (Commission Nationale de l’Informatique et des Libertés), czyli francuski organ nadzorujący przestrzeganie przepisów o ochronie danych osobowych, nałożył 50 milionów euro kary na Google za naruszenie przepisów RODO. Firma najprawdopodobniej odwoła się od tej decyzji.

W kilka dni po rozpoczęciu stosowania przepisów RODO, CNIL otrzymał od dwóch organizacji skargi związane z działalnością Google, które złożone zostały w imieniu ponad 10 tysięcy osób. Zarzuty dotyczyły braku podstawy prawnej do przetwarzania danych osobowych użytkowników usług świadczonych przez Google, w tym wykorzystywania tych danych do wyświetlania spersonalizowanych reklam. W sprawę zaangażowany był również Maks Schrems, znany aktywista na rzecz ochrony prywatności.

W celu rozpatrzenia skarg, CNIL zbadał proces zakładania i konfiguracji konta na urządzeniach mobilnych z systemem Android, w tym dokumenty, klauzule i regulaminy kierowane w tym przypadku do użytkowników.

W wyniku przeprowadzonej analizy francuski organ nadzorczy stwierdził dwa rodzaje naruszeń.

Po pierwsze, zarzucił Google naruszenie obowiązków dotyczących przejrzystości i informacji. W ocenie CNIL ogólna struktura podawanych informacji nie odpowiada wymogom RODO. Niezbędne informacje, takie jak określenie celów przetwarzania danych, okresów ich przechowywania lub kategorii danych osobowych wykorzystywanych do personalizowania reklam, są nadmiernie rozproszone w wielu dokumentach, z przyciskami i linkami, kierującymi użytkownika do kolejnych dokumentów. Użytkownik potrzebuje nawet do 5-6 działań, aby zapoznać się z odpowiednimi informacjami. Dodatkowo CNIL wskazał, iż informacje są przedstawiane w sposób zbyt ogólny i niejasny.

Drugi zarzut dotyczył naruszenia obowiązku posiadania podstawy prawnej do przetwarzania danych osobowych w celu personalizowania reklam. CNIL ocenił, że zgoda użytkownika na przetwarzanie danych w tym celu, którą legitymuje się Google nie jest w sposób prawidłowy uzyskiwana. Zarówno forma zbierania zgód (łączenie kilku zgód w ramach warunków korzystania z usług), jak również jej treść (rozproszenie w kilku dokumentach, niejasna treść) nie odpowiadają wymogom RODO.

Uzasadniając wysokość nałożonej kary CNIL wskazał, że naruszenie dotyczy podstawowych zasad RODO: przejrzystości informowania oraz warunków pozyskiwanych zgód i pozbawia użytkowników podstawowych gwarancji dotyczących operacji przetwarzania danych osobowych, które mogą ujawnić elementy ich życia prywatnego, ponieważ opierają się na dużej ilości danych oraz szerokiej gamie usług.

Organ podniósł również fakt, iż system operacyjny Android ma na rynku francuskim ważne miejsce i tysiące Francuzów codziennie tworzą konto Google podczas korzystania ze smartfona. Ponadto model ekonomiczny przedsiębiorstwa jest częściowo oparty na wyświetlaniu personalizowanych reklam, a naruszenie ma charakter ciągły.

Ekspert w dziedzinie ochrony danych

Autor

Michał Rogoziński

Specjalista w dziedzinie ochrony danych osobowych - Inspektor Ochrony Danych (Data Protection Officer), doświadczony praktyk. Doradza polskim przedsiębiorcom przy budowaniu i rozwijaniu bezpiecznego biznesu.