50 εκατομμύρια ευρώ πρόστιμο για την Google επιβεβαιώθηκε από το Γαλλικό Δικαστήριο

Ιούν 19, 2020

Ιστορικό. Μετά από καταγγελία του noyb και παρόμοια καταγγελία από τη γαλλική ΜΚΟ «La Quadrature du Net», η CNIL (η Γαλλική Αρχή Προστασίας Δεδομένων) επέβαλε πρόστιμο 50 εκατομμυρίων ευρώ στην Google για την αδιαφανή πολιτική απορρήτου της εταιρείας και την έλλειψη νομικής βάσης για εξατομικευμένες διαφημίσεις . Αυτό είναι μέχρι στιγμής το υψηλότερο πρόστιμο που εγκρίθηκε από την DPA ως τελική απόφαση. Ωστόσο, είναι πολύ χαμηλότερο από το μέγιστο πρόστιμο βάσει του GDPR του 4% του παγκόσμιου κύκλου εργασιών της Google (αυτό θα είναι 3,7 δισεκατομμύρια ευρώ). Η απόφαση της CNIL επικεντρώθηκε κυρίως σε δύο συγκεκριμένες παραβάσεις του GDPR: την έλλειψη επαρκών πληροφοριών για τους χρήστες και την έλλειψη νομικής βάσης για την επεξεργασία προσωπικών δεδομένων για διαφημιστικούς σκοπούς.

Max Schrems, επίτιμος πρόεδρος της Noyb:   " Το ποσό είναι μικρό για την Google, αλλά εξακολουθεί να είναι ένα σημαντικό σύμβολο για να δείξει ότι τα πρόστιμα του GDPR μπορούν να φτάσουν σε σοβαρά ποσά".

Η απόφαση ασκήθηκε έφεση από την Google ενώπιον του γαλλικού Conseil d'Etat (το ανώτατο διοικητικό δικαστήριο) με το επιχείρημα ότι το γαλλικό DPA δεν έχει δικαιοδοσία επί των ευρωπαϊκών κεντρικών γραφείων της Google. Η Google ισχυρίστηκε, μεταξύ άλλων, ότι η ιρλανδική αρχή προστασίας δεδομένων πρέπει να ηγείται οποιωνδήποτε υποθέσεων ή ερευνών σχετικά με τις πρακτικές της. Το Conseil d'Etat επικυρώνει την απόφαση του CNIL σε όλα τα σημεία.

Η Google δεν μπορεί να επιλέξει τον Ιρλανδικό Ρυθμιστή. Στη σημερινή απόφαση , το Conseil d'Etat επιβεβαίωσε την κύρωση και τη δικαιοδοσία του γαλλικού DPA επί της Google. Η Google προσπάθησε να φύγει στην Ιρλανδία, καθώς ο Ιρλανδός Ρυθμιστής ("DPC") μέχρι στιγμής δεν έχει εκδώσει ούτε πρόστιμο βάσει του GDPR εναντίον ενός ιδιωτικού ηθοποιού. Σε αντίθεση με τον Ιρλανδικό Regulator, ο οποίος χρειάστηκε περισσότερο από 18 μήνες για να ολοκληρώσει μια αναφορά για καταγγελίες που κατατέθηκαν εναντίον Facebook, Instagram και Whatsapp, η CNIL εξέδωσε την έκθεσή της εντός 5 μηνών στις 22 Οκτωβρίου 2018 και εξέδωσε τελική απόφαση εντός οκτώ μηνών.

Max Schrems: " Είναι πολύ σημαντικό οι εταιρείες όπως η Google να μην μπορούν απλώς να δηλώσουν ότι είναι" Ιρλανδικές "για να ξεφύγουν από την εποπτεία από τους ρυθμιστές απορρήτου."

Καταπολέμηση εθνικών αρμοδιοτήτων. Στην ΕΕ, η «κύρια εγκατάσταση» καθορίζει ποια κράτη μέλη είναι υπεύθυνα για την επιβολή του GDPR. Εάν δεν υπάρχει «κύρια εγκατάσταση», οποιαδήποτε αρχή μπορεί να αποφασίσει μόνη της. Το Conseil d'Etat επιβεβαίωσε ότι, ακόμη και αν τα ευρωπαϊκά κεντρικά γραφεία της Google βρίσκονταν στην Ιρλανδία, το ιρλανδικό ίδρυμα δεν είχε εξουσία λήψης αποφάσεων σχετικά με τις εργασίες επεξεργασίας που διακυβεύονταν κατά τη στιγμή της απόφασης. Δεδομένου ότι ο «μηχανισμός ενιαίας εξυπηρέτησης» δεν ήταν επομένως εφαρμόσιμος, η CNIL ήταν αρμόδια να λάβει οποιαδήποτε απόφαση σχετικά με τις διαδικασίες επεξεργασίας που πραγματοποίησε η Google, όπως κάθε άλλη DPA στην ΕΕ.

Οι πληροφορίες δεν είναι εύκολα προσβάσιμες. Το Conseil d'Etat επιβεβαίωσε την αξιολόγηση της CNIL: οι πληροφορίες στην πολιτική απορρήτου της Google δεν ήταν εύκολα προσβάσιμες για τους χρήστες. Οι βασικές πληροφορίες που πρέπει να παρέχονται διαδίδονται σε πάρα πολλά έγγραφα και είναι προσβάσιμες μόνο μετά από αρκετά βήματα (μερικές φορές έως 5 ή 6 ενέργειες). Επομένως, δεν συμμορφώθηκε με τον GDPR.

Οι πληροφορίες δεν είναι σαφείς. Η CNIL κατέληξε επίσης στο συμπέρασμα ότι ορισμένες πληροφορίες δεν είναι πάντα σαφείς ούτε περιεκτικές. Ο χρήστης δεν μπορεί να καταλάβει ρεαλιστικά τι κάνει η Google με τα προσωπικά του δεδομένα. Για παράδειγμα, οι λόγοι για τους οποίους η Google χρησιμοποιεί δεδομένα, η νομική βάση για την επεξεργασία τους ή οι κατηγορίες των δεδομένων που υποβλήθηκαν σε επεξεργασία κρίθηκαν υπερβολικά ασαφείς.

Δεν υπάρχει έγκυρη συναίνεση για εξατομικευμένες διαφημίσεις . Ενώ η Google θεωρεί ότι έλαβε τη συγκατάθεση του χρήστη για την επεξεργασία δεδομένων για σκοπούς εξατομίκευσης διαφημίσεων, η CNIL κατέληξε στο συμπέρασμα ότι αυτή η συγκατάθεση δεν ήταν έγκυρη για δύο λόγους:

(1) η συγκατάθεση εάν δεν είναι επαρκώς ενημερωμένη και δεν μπορεί να είναι «συγκεκριμένη» ούτε «σαφής», δεδομένου ότι οι πληροφορίες αραιώνονται σε πολλά έγγραφα.

(2) επιπλέον, ο GDPR προβλέπει ότι η συγκατάθεση είναι «συγκεκριμένη» μόνο εάν παρέχεται ξεχωριστά για κάθε σκοπό. Ωστόσο, η Google ζήτησε τη συγκατάθεση για όλες τις εργασίες επεξεργασίας.

Συνέπειες. Max Schrems: «Αυτή η απόφαση απαιτεί σημαντικές βελτιώσεις από την Google. Η πολιτική απορρήτου τους πρέπει τώρα να καταστήσει σαφές τι κάνουν με τα δεδομένα των χρηστών. Οι χρήστες πρέπει επίσης να έχουν την επιλογή να συμφωνήσουν μόνο σε ορισμένα μέρη του τι κάνει η Google με τα δεδομένα τους και να αρνηθούν άλλα πράγματα ».