CNIL nałożył 50 milionów euro kary na Google.

kara dla Google

Na stronie internetowej Francuskiej Komisji ds. Wolności i Informatyki (francuski organ ochrony danych – dalej CNIL), pojawiła się informacja o nałożeniu kary na spółkę Google. Jest to pierwsza kara nałożona na mocy RODO. Francuska (oraz angielska) wersja informacji, której tłumaczenie umieszczono poniżej, jest dostępna tutaj: https://www.cnil.fr/fr/la-formation-restreinte-de-la-cnil-prononce-une-sanction-de-50-millions-deuros-lencontre-de-la.

21 stycznia 2019 r. CNIL działająca w ograniczonym składzie nałożyła na podstawie RODO karę w wysokości 50 milionów euro na spółkę GOOGLE LLC za brak przejrzystości, niewystarczające podawanie informacji oraz brak ważnej zgody na personalizację reklamy.

25 oraz 28 maja 2018 roku CNIL otrzymał skargę zbiorową od stowarzyszenia  None Of Your Business („NOYB”) oraz stowarzyszenia La Quadrature du Net („LQDN”). LQDN została upoważniona do zwrócenia się do CNIL przez prawie 10000 osób. W tych dwóch skargach stowarzyszenia zarzuciły GOOGLE brak ważnej podstawy prawnej do przetwarzania danych osobowych użytkowników usług, w szczególności w celu personalizacji reklamy.

Dochodzenie CNIL w sprawie skarg

CNIL natychmiast rozpoczęła dochodzenie w sprawie skarg. Na początku, 1 czerwca 2018 roku, zgodnie z postanowieniami dotyczącymi współpracy europejskiej RODO, CNIL przekazała te dwie skargi swoim odpowiednikom w innych państwach europejskich w celu weryfikacji czy są one właściwe do ich rozpatrzenia. Istotnie, RODO ustanawia „mechanizm kompleksowej współpracy”, który przewiduje, że organizacja z siedzibą w Unii Europejskiej musi kontaktować się wyłącznie z organem z kraju, gdzie znajduje się jej „główna jednostka organizacyjna”. Organ ten jest natomiast „wiodącym organem nadzorczym”. Musi on jednak z tego tytułu, przed podjęciem decyzji, skoordynować swoje działania z innymi krajowymi organami ochrony danych.

W tym przypadku, wymiana z innymi organami, w szczególności z Irlandzkim organem ochrony danych, gdzie znajduje się europejska siedziba GOOGLE, nie pozwoliła na uznanie, że GOOGLE posiada „główną jednostkę organizacyjną” w Unii Europejskiej. W momencie w którym CNIL podjęła swoje postępowanie, irlandzka jednostka organizacyjna nie miała prawa podjęcia decyzji w odniesieniu do przetwarzania w ramach systemu operacyjnego Android oraz usług dostarczanych przez GOOGLE LLC w związku z tworzeniem konta użytkownika w trakcie konfiguracji telefonu komórkowego.

Wspomniany „mechanizm kompleksowej współpracy” nie był możliwy do zastosowania, CNIL na takiej samej podstawie jak wszystkie inne organy ochrony danych z Unii, miał więc kompetencje do podjęcia decyzji dotyczącej przetwarzania przeprowadzanego przez GOOGLE LLC.  Zastosował je stosując nowe ramy europejskie, które zostały zinterpretowane przez europejskie organy w wytycznych Europejskiej Rady Ochrony Danych.

W celu rozpatrzenia skierowanych do niego skarg, CNIL przeprowadził we wrześniu 2018 roku kontrolę internetową. Celem była weryfikacja zgodności przetwarzania danych osobowych przez Google z ustawą w sprawie informatyki oraz wolności oraz z RODO, poprzez analizę ścieżki użytkownika oraz dokumentów, do których mógł uzyskać dostęp podczas tworzenia konta GOOGLE podczas konfiguracji swojego urządzenia przenośnego działającego na Android.

Naruszenia stwierdzone przez CNIL, działającą w ograniczonym składzie

Na podstawie przeprowadzanego postępowania, CNIL działająca w ograniczonym składzie, której zadaniem było wydanie kary – stwierdziła dwa poważne braki względem RODO.

Naruszenie obowiązków przejrzystości oraz obowiązku informacyjnego

Przede wszystkim, CNIL działająca w ograniczonym składzie podniosła, że informacje dostarczane przez GOOGLE nie są łatwo dostępne dla użytkowników.

Istotnie, ogólna architektura informacji wybrana przez spółkę, nie pozwala na wypełnienie obowiązków Rozporządzenia. Kluczowe informacje, takie jak cele w których dane są przetwarzane, okres przechowywania danych czy kategorie danych wykorzystywane do personalizacji reklamy, są zbyt rozproszone w wielu dokumentach, które zawierają przyciski oraz linki, które należy aktywować aby uzyskać dodatkowe informacje. Odpowiednie informacje są dostępne dopiero po przejściu kilku etapów,  wymagających czasami aż do pięciu czy sześciu działań. Tak jest np. w przypadku gdy użytkownik chce uzyskać pełną informacją na temat zbierania dotyczących go informacji w celu personalizacji reklamy lub geolokalizacji.

Podobnie, CNIL działająca w ograniczonym składzie ustaliła, że dostarczone informacje nie zawsze są jasne oraz zrozumiałe.

Użytkownicy nie mają środków, żeby zrozumieć ogrom przetwarzań podejmowanych przez GOOGLE. Tak więc te operacje przetwarzania są wyjątkowo duże oraz inwazyjne, wskutek ilości proponowanych usług (około dwudziestu), ilości oraz charakteru przetwarzanych oraz zestawianych danych. W szczególności, CNIL działająca w ograniczonym składzie ustaliła, że cele są opisane w sposób zbyt ogólny oraz niejasny, podobnie jak dane przetwarzane dla tych różnych celów. Podobnie podana informacja nie jest wystarczająco jasna, aby użytkownik zrozumiał, że podstawą prawną przetwarzania w celu spersonalizowania reklamy jest zgoda, a nie prawnie uzasadniony interes spółki GOOGLE.

Ponadto, CNIL działająca w ograniczonym składzie podniosła, że okres przechowywania niektórych danych nie został wskazany.

Naruszenie obowiązku wskazania podstawy prawnej przetwarzania w celu spersonalizowania reklamy

Spółka GOOGLE podparła się zgodą użytkowników na przetwarzanie ich danych w celu spersonalizowania reklamy. Jednak CNIL działająca w ograniczonym składzie oceniła, że zgoda nie została prawidłowo zebrana z dwóch powodów.

Po pierwsze, zgoda użytkowników nie jest wystarczająco jasna. Informacja na temat tych przetwarzań, rozproszona w wielu dokumentach nie pozwala użytkownikowi na poznanie ich ogromu. Na przykład z rubryki  dedykowanej „personalizacji informacji” nie sposób dowiedzieć się o ilości usług, stronach, aplikacjach zaangażowanych w to przetwarzanie (Google search, You tube, Google home, Google maps, Playstore, Google photo…), a tym samym o ilości przetwarzanych oraz zestawianych danych.

Po drugie, CNIL działająca w ograniczonym składzie stwierdziła, że zebrana zgoda nie jest „konkretna” ani „jednoznaczna”.

Naturalnie, podczas tworzenia konta, użytkownik posiada możliwość zmiany pewnych ustawień związanych z kontem poprzez kliknięcie przycisku „więcej opcji” dostępnych po kliknięciu przycisku „utwórz konto”. W szczególności możliwa jest zmiana ustawień sposobu pokazywania spersonalizowanych informacji.

Nie oznacza to jednak, że RODO jest respektowane. Nie tylko to sam użytkownik musiał kliknąć „więcej opcji” w celu uzyskania dostępu do ustawień, ale dodatkowo wyświetlanie spersonalizowanych informacji było domyślnie włączone. Tymczasem zgoda jest „jednoznaczna”, tak jak tego wymaga RODO, tylko pod warunkiem, że użytkownik dokona pewnej pozytywnej czynności (na przykład zaznaczy, niezaznaczone uprzednio okienko). Wreszcie, przed utworzeniem konta, użytkownik jest proszony o zaznaczenie „akceptuję warunki użytkowania usługi Google” oraz „akceptuję, że informacje mnie dotyczące są wykorzystywane w sposób w jaki opisano powyżej oraz szczegółowo określony w zasadach dotyczących poufności” aby móc utworzyć swoje konto. Takie działanie sprawia, że użytkownik udziela swojej zgody naraz w odniesieniu do wszystkich celów, dla których GOOGLE przetwarza dane na podstawie tej zgody (personalizowanie reklamy, rozpoznanie głosu, itd.) Jednakże zgodnie z RODO zgoda jest konkretna jedynie pod warunkiem, że dotyczy każdego z celów z osobna.

Kara nałożona przez CNIL działającą w ograniczonym składzie oraz jej publikacja.

CNIL działająca w ograniczonym składzie nałożyła na GOOGLE karę w wysokości 50 milionów euro oraz ją upubliczniła.

Jest to pierwszy przypadek gdy CNIL stosuje nowe limity kar ustanowione przez RODO. Jej wysokość jak również upublicznienie wynika przede wszystkim z powagi ustalonych nieprawidłowości, które dotyczą kluczowych zasad RODO: przejrzystości, obowiązku informacyjnego oraz zgody.

Pomimo środków wdrożonych przez GOOGLE (dokumentacja oraz narzędzia służące do konfiguracji), stwierdzone nieprawidłowości pozbawiają użytkowników podstawowych gwarancji dotyczących przetwarzania, mogących ujawnić ważne części ich życia prywatnego, ponieważ opierają się o duże ilości danych, szeroki zakres usług oraz prawie nieograniczone możliwości zestawiania. CNIL działająca w ograniczonym składzie przypomina, że zakres tych operacji przetwarzania wymaga umożliwienia użytkownikom posiadania kontroli nad ich danymi oraz w związku z tym wystarczającego ich poinformowania oraz umożliwienia im wyrażenia ważnej zgody.

Ponadto, naruszenia RODO mają charakter ciągły i cały czas trwają. Nie jest to jednorazowe naruszenie ograniczone w czasie.

Wreszcie, należy wziąć pod uwagę istotne miejsce jakie zajmuje system operacyjny Android na francuskim rynku, tysiące Francuzów tworzy codziennie konto Google korzystając ze swoich smartfonów. Co więcej, CNIL działająca w ograniczonym składzie wskazuje, że model prowadzenia działalności spółki jest w części oparty na spersonalizowanej reklamie. Z tego względu, zapewnienie zgodności w tym zakresie jest jej ważnym obowiązkiem.

Przemysław Sierzputowski

About Redakcja 320 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.