Pozadí. V návaznosti na stížnostinoyb a podobné stížnosti francouzské nevládní organizace "La Quadrature du Net" se CNIL (francouzský úřad pro ochranu údajů) uložil pokutu ve výši 50 milionů eur eUR společnosti Google za neprůhlednou politiku ochrany osobních údajů a chybějící právní základ pro personalizované reklamy. Jedná se zatím o nejvyšší pokuta, kterou orgán pro ochranu údajů přijal jako konečné rozhodnutí. Nicméně je výrazně nižší než maximální pokuta podle GDPR ve výši 4 % celosvětového obratu společnosti Google (to by bylo 3,7 miliardy eur). Rozhodnutí CNIL se zaměřilo především na dvě konkrétní porušení GDPR: nedostatečné informování uživatelů a chybějící právní základ pro zpracování osobních údajů pro účely reklamy.
Max Schrems, čestný předseda společnosti noyb: "Částka je pro Google nepatrná, ale přesto je důležitým symbolem, který ukazuje, že pokuty podle GDPR mohou dosáhnout závažných částek."
Společnost Google se proti rozhodnutí odvolala k francouzskému Conseil d'Etat (nejvyššímu správnímu soudu) s odůvodněním, že francouzský úřad pro ochranu údajů nemá pravomoc nad evropským sídlem společnosti Google. Společnost Google mimo jiné tvrdila, že případné případy nebo vyšetřování jejích postupů by měl vést irský úřad pro ochranu údajů. Conseil d'Etat potvrdil rozhodnutí CNIL ve všech bodech.
Společnost Google si nemůže vybrat irský regulační orgán. V dnešním rozhodnutíconseil d'Etat potvrdil sankce a pravomoc francouzského orgánu pro ochranu údajů vůči společnosti Google. Společnost Google se pokusila utéct do Irska, protože irský regulační orgán ("DPC") dosud neudělil jedinou pokutu podle GDPR soukromému subjektu. Na rozdíl od irského regulačního orgánu, kterému trvalo více než 18 měsíců, než dokončil tzv zprávu o stížnosti podaných proti společnostem Facebook, Instagram a Whatsapp, CNIL vydal svou zprávu během 5 měsíců dne 22. října 2018 a konečné rozhodnutí vydal během 8 měsíců.
Max Schrems: "Je velmi důležité, aby se společnosti jako Google nemohly jednoduše prohlásit za "irské" a uniknout tak dohledu regulátorů ochrany osobních údajů."
Boj o vnitrostátní pravomoci. V rámci EU je "hlavním zařízením" určeno, které členské státy jsou odpovědné za prosazování GDPR. Pokud "hlavní provozovna" neexistuje, může o tom kterýkoli orgán rozhodnout sám. Conseil d'Etat potvrdila, že i když se evropská centrála společnosti Google nachází v Irsku, irská provozovna nemá v době rozhodování rozhodovací pravomoc o dotčených operacích zpracování. Protože se tedy neuplatňoval mechanismus "jednoho správního místa", byl CNIL příslušný k přijetí jakéhokoli rozhodnutí ohledně operací zpracování prováděných společností Google, stejně jako jakýkoli jiný orgán pro ochranu údajů v EU.
Informace nejsou snadno dostupné. Conseil d'Etat potvrdila hodnocení CNIL: informace v zásadách ochrany osobních údajů společnosti Google nebyly pro uživatele snadno dostupné. Základní informace, které mají být poskytnuty, jsou rozptýleny v příliš mnoha dokumentech a jsou přístupné až po několika krocích (někdy až po 5 nebo 6 úkonech). Nebyla proto v souladu s nařízením GDPR.
Informace nejsou přehledné. CNIL rovněž dospěl k závěru, že některé informace nejsou vždy jasné ani vyčerpávající. Uživatelé nemohou reálně pochopit, co Google s jejich osobními údaji dělá. Například důvody, proč Google údaje používá, právní základ pro jejich zpracování nebo kategorie zpracovávaných údajů byly shledány jako příliš vágní.
Žádný platný souhlas s personalizovanými reklamami. Zatímco společnost Google se domnívá, že získala souhlas uživatelů se zpracováním údajů pro účely personalizace reklam, CNIL dospěl k závěru, že tento souhlas není platný ze dvou důvodů:
(1) souhlas není dostatečně informovaný a nemůže být ani "konkrétní", ani "jednoznačný" vzhledem k tomu, že informace jsou rozvedeny v několika dokumentech.
(2) GDPR navíc stanoví, že souhlas je "konkrétní" pouze tehdy, je-li udělen pro každý účel zvlášť. Společnost Google však požadovala souhlas se všemi operacemi zpracování.
Důsledky. Max Schrems: "Toto rozhodnutí vyžaduje od společnosti Google zásadní zlepšení. Jejich zásady ochrany osobních údajů nyní musí skutečně jasně uvádět, co s údaji uživatelů dělají. Uživatelé také musí dostat možnost souhlasit pouze s některými částmi toho, co Google s jejich údaji dělá, a jiné věci odmítnout."
