Komentarz eksperta ODO 24: Kara 50 milionów euro dla Google LLC

Autor: Paweł Mielniczek, Ekspert ds. ochrony danych, ODO 24.

Komentarz eksperta ODO 24: Kara 50 milionów euro dla Google LLC – powody i znaczenie decyzji francuskiego organu

W dniu 21 stycznia 2019 r., francuski organ nadzorczy (CNIL) nałożył na Google LLC karę w wysokości 50 mln euro za brak przejrzystości, nieadekwatne informowanie oraz brak ważnej zgody na personalizację reklam. Na czym dokładnie polegały niezgodności i dlaczego zdaniem organu, zasługiwały na tak wysokie sankcje? Co oznacza to dla innych administratorów?

Skargę na przetwarzanie przez Google danych osobowych bez podstawy prawnej w imieniu przeszło 10 tys. osób złożyły stowarzyszenia None Of Your Business oraz La Quadrature du Net. Po konsultacji z organami z innych krajów – w szczególności z Irlandii – CNIL uznał, że główna jednostka organizacyjna Google nie znajduje się w Europie, nie ma zatem zastosowania zasada „one stop shop”, wymagająca prowadzenia postępowania przez wiodący organ nadzorczy w państwie głównej siedziby administratora. Jako okoliczność przemawiającą za tym, że irlandzka siedziba Google nie jest główną jednostką organizacyjną, organ uznał fakt, iż nie decyduje ona o operacjach przetwarzania w ramach systemu operacyjnego Android i usług dostarczanych przez Google w odniesieniu do tworzenia konta podczas konfiguracji urządzenia. CNIL ocenił zatem operacje przetwarzania prowadzone przez administratora Google LLC z siedzibą w Moutain View w Kalifornii, dotyczące użytkowników konta Google we Francji i pozostawił tym samym możliwość wszczęcia analogicznych postępowań w pozostałych państwach członkowskich Unii Europejskiej.

W ocenie organu spółka Google nie zrealizowała wymogów dotyczących przejrzystości oraz podstaw prawnych przetwarzania danych (zgody). CNIL uznał, iż naruszenia pozbawiały użytkowników podstawowych gwarancji dotyczących operacji przetwarzania opartych na wielkiej ilości danych, które mogą ujawnić ważne części ich życia prywatnego. Wymierzając karę Urząd wziął pod uwagę skalę przetwarzania danych (tysiące nowych kont dziennie) oraz fakt, że naruszenia występują w ramach ciągłego procesu, a nie pojedynczej, ograniczonej w czasie niezgodności. Obciążający był także fakt, że personalizacja reklam stanowi jedną z podstaw modelu biznesowego Google, w związku z czym realizacja obowiązków w tym zakresie stanowi „najwyższą odpowiedzialność” spółki.

Decyzja CNIL jest poważnym ostrzeżeniem także dla polskich administratorów. Unikać należy szczególnie łączenia zgód w ramach jednego oświadczenia. Ponadto administrator powinien upewnić się, czy udzielane informacje są nie tylko poprawne formalnie, ale także zapewniają najwyższy poziom zrozumienia i kontroli nad dotyczącymi ich danymi.
Źródła: Informacja prasowa CNIL (j. angielski), Treść decyzji (j. francuski);

ODO 24 sp. z o. o. oferuje kompleksowe rozwiązania w zakresie ochrony danych osobowych i bezpieczeństwa informacji. Dzięki doświadczonemu zespołowi ekspertów z zakresu m.in. prawa, informatyki, zarządzania kryzysowego oraz ciągłości działania dostarcza organizacjom praktyczne rozwiązania, pozwalające skutecznie zabezpieczyć posiadane zasoby informacyjne.

Authors

Top