Предистория . След жалба от noyb и подобна жалба от френската неправителствена организация „La Quadrature du Net“ CNIL (френският орган за защита на данните) наложи на Google 50 милиона евро глоба заради непрозрачната политика на компанията и липсата на правно основание за персонализирани реклами . Това засега е най -високата глоба, приета от DPA като окончателно решение. Въпреки това е доста под максималната глоба съгласно GDPR от 4% от глобалния оборот на Google (това би било 3,7 милиарда евро). Решението на CNIL се фокусира главно върху две конкретни нарушения на GDPR: липсата на достатъчно информация за потребителите и липсата на правно основание за обработка на лични данни за рекламни цели.
Макс Шремс, почетен председател на noyb: „ Сумата е малка за Google, но все пак е важен символ, който показва, че GDPR глобите могат да достигнат сериозни суми“.
Решението е обжалвано от Google пред френския Conseil d'Etat (най-висшият административен съд) с мотива, че френският DPA няма юрисдикция над европейската централа на Google. Google твърди, наред с други, че ирландският орган за защита на данните трябва да ръководи всички случаи или разследвания на своите практики. Държавният съвет поддържа решението на CNIL във всички точки.
Google не може да избере ирландския регулатор. В днешното си решение Conseil d'Etat потвърди санкцията и юрисдикцията на френския DPA над Google. Google се опита да избяга в Ирландия, тъй като ирландският регулаторен орган („DPC“) досега не е издал нито една глоба съгласно GDPR срещу частен участник. За разлика от ирландския регулатор, който отне повече от 18 месеца, за да изготви доклад за жалби, подадени срещу Facebook, Instagram и Whatsapp, CNIL публикува своя доклад в рамките на 5 месеца на 22 октомври 2018 г. и издаде окончателно решение в рамките на осем месеца.
Макс Шремс: „ Много е важно компании като Google да не могат просто да се обявят за„ ирландци “, за да избегнат надзора от страна на регулаторите за поверителност.“
Борба за национални компетенции. В рамките на ЕС „основното учреждение“ определя кои държави-членки отговарят за прилагането на GDPR. Ако няма „основно учреждение“, всеки орган може да реши сам. Държавният съвет потвърждава, че дори европейското седалище на Google да се намира в Ирландия, ирландското заведение не е имало правомощия за вземане на решения относно операциите по обработка, заложени по време на решението. Тъй като „механизмът на едно гише“ следователно не беше приложим, CNIL беше компетентен да вземе всяко решение относно операциите по обработка, извършвани от Google, както всеки друг DPA в ЕС.
Информацията не е лесно достъпна. Държавният съвет потвърди оценката на CNIL: информацията в политиката за поверителност на Google не беше лесно достъпна за потребителите. Основната информация, която трябва да се предостави, се разпространява в твърде много документи и е достъпна само след няколко стъпки (понякога до 5 или 6 действия). Следователно тя не спазва GDPR.
Информацията не е ясна. CNIL също заключи, че някои сведения не винаги са ясни и изчерпателни. Потребителите не могат да разберат реално какво прави Google с техните лични данни. Например причините, поради които Google използва данни, правното основание за тяхната обработка или категориите обработени данни, бяха счетени за твърде неясни.
Няма валидно съгласие за персонализирани реклами . Докато Google счита, че е получил съгласието на потребителя да обработва данни за целите на персонализирането на рекламите, CNIL заключава, че такова съгласие не е валидно по две причини:
(1) съгласието, ако не е достатъчно информирано и не може да бъде нито „конкретно“, нито „недвусмислено“, като се има предвид, че информацията е разредена в няколко документа.
(2) освен това GDPR предвижда, че съгласието е „конкретно“ само ако е дадено ясно за всяка цел. Google обаче поиска съгласие за всички операции по обработка.
Последствия . Макс Шремс: „Това решение изисква съществени подобрения от Google. Политиката им за поверителност сега наистина трябва да стане кристално ясно какво правят с данните на потребителите. Потребителите трябва също така да получат възможност да се съгласят само с някои части от това, което Google прави с техните данни и да откажат други неща ”.
