W dniu 21 stycznia 2019 r., francuski organ nadzorczy (CNIL) nałożył na Google LLC karę w wysokości 50 mln euro za brak przejrzystości, nieadekwatne informowanie oraz brak ważnej zgody na personalizację reklam. Na czym dokładnie polegały niezgodności i dlaczego zdaniem organu, zasługiwały na tak wysokie sankcje? Co oznacza to dla innych administratorów?
Skargę na przetwarzanie przez Google danych osobowych bez podstawy prawnej w imieniu przeszło
10 tys. osób złożyły stowarzyszenia None Of Your Business oraz La Quadrature du Net. Po konsultacji
z organami z innych krajów – w szczególności z Irlandii – CNIL uznał, że główna jednostka
organizacyjna Google nie znajduje się w Europie, nie ma zatem zastosowania zasada „one stop shop”,
wymagająca prowadzenia postępowania przez wiodący organ nadzorczy w państwie głównej siedziby
administratora. Jako okoliczność przemawiającą za tym, że irlandzka siedziba Google nie jest główną
jednostką organizacyjną, organ uznał fakt, iż nie decyduje ona o operacjach przetwarzania w ramach
systemu operacyjnego Android i usług dostarczanych przez Google w odniesieniu do tworzenia konta
podczas konfiguracji urządzenia. CNIL ocenił zatem operacje przetwarzania prowadzone przez
administratora Google LLC z siedzibą w Moutain View w Kalifornii, dotyczące użytkowników konta
Google we Francji i pozostawił tym samym możliwość wszczęcia analogicznych postępowań w
pozostałych państwach członkowskich Unii Europejskiej.
W ocenie organu spółka Google nie zrealizowała wymogów dotyczących przejrzystości oraz podstaw
prawnych przetwarzania danych (zgody). CNIL uznał, iż naruszenia pozbawiały użytkowników
podstawowych gwarancji dotyczących operacji przetwarzania opartych na wielkiej ilości danych,
które mogą ujawnić ważne części ich życia prywatnego. Wymierzając karę Urząd wziął pod uwagę
skalę przetwarzania danych (tysiące nowych kont dziennie) oraz fakt, że naruszenia występują w
ramach ciągłego procesu, a nie pojedynczej, ograniczonej w czasie niezgodności. Obciążający był
także fakt, że personalizacja reklam stanowi jedną z podstaw modelu biznesowego Google, w związku
z czym realizacja obowiązków w tym zakresie stanowi „najwyższą odpowiedzialność” spółki.
Decyzja CNIL jest poważnym ostrzeżeniem także dla polskich administratorów. Unikać należy
szczególnie łączenia zgód w ramach jednego oświadczenia. Ponadto administrator powinien upewnić
się, czy udzielane informacje są nie tylko poprawne formalnie, ale także zapewniają najwyższy
poziom zrozumienia i kontroli nad dotyczącymi ich danymi.
Źródła: Informacja prasowa CNIL (j. angielski), Treść decyzji (j. francuski);
ODO 24 sp. z o. o. oferuje kompleksowe rozwiązania w zakresie ochrony danych osobowych i
bezpieczeństwa informacji. Dzięki doświadczonemu zespołowi ekspertów z zakresu m.in. prawa,
informatyki, zarządzania kryzysowego oraz ciągłości działania dostarcza organizacjom praktyczne
rozwiązania, pozwalające skutecznie zabezpieczyć posiadane zasoby informacyjne.
Autor: Paweł Mielniczek, Ekspert ds. ochrony danych, ODO 24
