A bírság nagysága az eddigi legnagyobb a GDPR 2018. május 25-i hatályba lépése óta, és a 20 millió eurós maximum nominális bírság helyett a hatóság az adatkezelő GOOGLE LLC éves árbevétele alapján határozta meg a bírság összegét.
Az eljárást két szervezet, a None Of Your Business (“NOYB”) és a La Quadrature du Net (“LQDN”) kezdeményezte, pontosan a GDPR hatálybalépésének napján. A két szervezet azt állította, hogy a GOOGLE-nek nincs megfelelő jogalapja a személyes adatok kezeléséhez a szolgáltatásai nyújtása, így kiváltképpen a reklámok személyre szabása kapcsán.
A CNIL 2018. június elején megküldte a két kifogást az európai adatvédelmi hatóságok részére, hogy megállapítható legyen, hogy melyik hatóság illetékes. Megállapították, hogy a jelen ügyekben a GDPR-ban előírt egyablakos rendszert – mely alapján a fő felügyeleti hatóság jár el hasonló ügyekben – nem kell alkalmazni, tekintettel arra, hogy az Európában egyébként írországi központú GOOGLE-nek nem az európai, ír leányvállalata volt felelős az adatkezelési tevékenységekért.
A CNIL megvizsgálta a kifogásolt adatkezelési műveleteket, és kétfajta jogsértést állapított meg.
Az átláthatóság és tájékoztatás követelményének megsértése: a CNIL véleménye szerint a felhasználóknak nyújtott tájékoztatás nem érhető el könnyen az érintettek részére. Fontos információk, mint például az adatkezelési célok, az adattárolás időtartama vagy a kezelt adatok kategóriái teljesen szétszórva találhatók meg a különböző dokumentumokban, melyek egy sor gombra és hivatkozásra történő kattintással érhetők csak el. A releváns információhoz gyakran csak 5-6 lépést követően lehet eljutni, mint pl. amikor a felhasználó arra kíváncsi, hogy milyen adatait használják a geolokációs követéshez. A CNIL azt is megállapította, hogy néhány információ nem minden esetben egyértelmű vagy teljes körű, és a felhasználók számára a GOOGLE által alkalmazott adatkezelések nem teljesen érthetőek. A GOOGLE által nyújtott szolgáltatások nagy száma miatt az adatkezelési műveletek kifejezetten tömegesek és agresszívek, továbbá a cég túlságosan is általános jelleggel nyújt tájékoztatást az adatkezelési célokról és a kezelt adatok köréről. Végső soron a felhasználók számára nem egyértelmű, hogy a reklámok személyre szabása a hozzájárulásuk vagy a GOOGLE jogos érdeke alapján történik, és néhány esetben az adattárolás időtartamát sem közli a cég.
A reklámok személyre szabásához szükséges jogalappal kapcsolatos jogsértés: A GOOGLE azt állítja, hogy ehhez a felhasználók hozzájárulása alapján kezeli a személyes adatokat, azonban a CNIL megállapította, hogy a hozzájárulásokat nem szerzi be jogszerűen a cég, mégpedig a következő két ok miatt:
Először is, az érintett nem kellő információ alapján adja meg a hozzájárulást. A reklámok személyre szabásával kapcsolatos információk szét vannak forgácsolva különböző dokumentumokban és nem teszik lehetővé, hogy a felhasználó megismerje a tartalmukat. Például az “Ads Personalization” pontban nem lehetséges felmérni a szolgáltatások, weboldalak és alkalmazások sokaságát és az általuk kezelt adatokat. Másodszor, a hozzájárulás nem kellően kifejezett és nem egyértelmű. Bár egy GOOGLE-fiók létrehozásakor lehetőség van a személyre szabott reklámok beállításához, azonban ez nem jelenti azt, hogy ez a GDPR-nak megfelelően történik. A hozzájárulás előre ki van pipálva a beállítások között, ami sérti azt a szabályt, hogy a felhasználónak aktív megerősítéssel – pl. egy üres jelölőnégyzet kipipálásával – kell kifejeznie egyértelmű hozzájárulását. Ugyancsak sérti az előírásokat, hogy a hozzájárulás minden adatkezelési műveletre vonatkozik, és nincs lehetőség adatkezelési célonként külön-külön hozzájárulni az adatkezelésekhez.
A fentieket mérlegelve döntött a CNIL az 50 millió eurós bírság kiszabása mellett, először alkalmazva a GDPR által lehetővé tett bírság mértékét. A bírság kiszabásánál a GDPR alapelveinek – átláthatóság, tájékoztatás, hozzájárulás – súlyos megsértését vette figyelembe a hatóság. Bár a GOOGLE alkalmaz bizonyos eszközöket, ezek azonban nem akadályozzák meg azt, hogy a felhasználókat a személyes adataik kezeléséhez kapcsolódó szükséges garanciáktól ne fosszák meg. Márpedig ezen adatkezelések a nagyságrendjüknél és komplexitásuknál fogva a magánéletre jelentős hatással vannak, és szükségessé teszik a megfelelő tájékoztatást, az ellenőrzés lehetőségét és az érvényes hozzájárulás beszerzését.
A hatóság azt is figyelembe vette, hogy a jogsértés folyamatos, nem csak egyszeri vagy időben korlátozott. Az Android franciaországi piaci jelentősége is fontos szempont volt a bírság kiszabásánál (naponta franciák ezrei hoznak létre okostelefonjukon GOOGLE fiókot), valamint az, hogy a cég üzleti modellje részben a hirdetések személyre szabásán alapul.
A CNIL-nél a GOOGLE ellen bejelentést tevő NOYB a napokban az osztrák adatvédelmi hatósághoz fordult, mert állításuk szerint egy sor streaming szolgáltató nem teljesíti a GDPR 15. cikkében foglalt érintetti jogokkal kapcsolatos kötelezettségeit, azaz az érintett hozzáféréshez való jogát. Az eljárás olyan szolgáltatókat érint, mint az Amazon, Apple, Netflix, Spotify, SoundCloud, YouTube. Magyarországon is indultak hatósági eljárások GDPR hatályba lépése óta, azonban bírság kiszabására – tekintettel arra, hogy a hatóság csak kisebb súlyú jogsértéseket állapított meg – a mai napig nem került sor.
Forrás: Advocatus