Tausta . Jälkeen valituksen , jonka noyb ja samanlaisen valituksen Ranskan kansalaisjärjestö ”La Quadrature du Net” CNIL (Ranskan tietosuojaviranomainen) määräsi 50 miljoonan euron sakon Googlessa tehtyihin yhtiön läpinäkymätön tietosuojakäytännön ja puute oikeusperusta yksilöllisistä mainoksista . Tämä on toistaiseksi korkein sakko, jonka tietosuojaviranomainen on hyväksynyt lopullisena päätöksenä. Siitä huolimatta se on selvästi alle GDPR: n mukaisen sakon enimmäismäärän, joka on 4 prosenttia Googlen maailmanlaajuisesta liikevaihdosta (tämä olisi 3,7 miljardia euroa). CNIL: n päätöksessä keskityttiin pääasiassa kahteen erityiseen GDPR-rikkomukseen: riittävän tiedon puute käyttäjille ja oikeusperustan puuttuminen henkilötietojen käsittelystä mainostarkoituksia varten.
Max Schrems, noybin kunniapuheenjohtaja: " Summa on pieni Googlelle, mutta silti tärkeä symboli sen osoittamiseksi, että GDPR-sakot voivat saavuttaa vakavia määriä".
Google valitti päätöksestä ranskalaiselle Conseil d'Etatille (korkein hallinto-oikeus) sillä perusteella, että Ranskan tietosuojaviranomaisella ei ole toimivaltaa Googlen Euroopan pääkonttoriin. Google väitti muun muassa, että Irlannin tietosuojaviranomaisen tulisi johtaa tapauksia tai tutkimuksia käytänteistään. Conseil d'Etat tukee CNIL: n päätöstä kaikissa kohdissa.
Google ei voi valita Irlannin sääntelyviranomaista. Conseil d'Etat vahvisti tämänpäiväisessä päätöksessään seuraamuksen ja Ranskan tietosuojaviranomaisen toimivallan Googlen suhteen. Google on yrittänyt paeta Irlantiin, koska Irlannin sääntelyviranomainen (DPC) ei ole toistaiseksi määrittänyt yksityisen toimijan sakkoa GDPR: n nojalla. Toisin kuin Irlannin säädin, mikä kesti yli 18 kuukautta, kun raportti valitusten vastaan Facebook, Instagram ja Whatsapp, CNIL antoi raporttinsa kuluessa 5 kuukautta 22. lokakuuta 2018 sekä teki lopullisen päätöksen kahdeksan kuukauden kuluessa.
Max Schrems: " On erittäin tärkeää, että Googlen kaltaiset yritykset eivät voi yksinkertaisesti julistaa olevansa" irlantilaisia "välttääkseen yksityisyyden suojan valvojien valvonnan."
Taistelu kansallisen toimivallan puolesta. EU: ssa "päätoimipaikka" määrittelee, mitkä jäsenvaltiot vastaavat GDPR: n täytäntöönpanosta. Jos ei ole "päätoimipaikkaa", mikä tahansa viranomainen voi päättää itse. Conseil d'Etat vahvisti, että vaikka Googlen Euroopan pääkonttori sijaitsi Irlannissa, Irlannin laitoksella ei ollut päätöksentekovaltaa kyseessä olevista käsittelytoimista päätöksen tekohetkellä. Koska yhden luukun mekanismia ei sen vuoksi voitu soveltaa, CNIL oli toimivaltainen tekemään minkä tahansa päätöksen Googlen, kuten minkä tahansa muun EU: n tietosuojaviranomaisen, suorittamista käsittelytoimista.
Tiedot eivät ole helposti saatavilla. Conseil d'Etat vahvisti CNIL: n arvion: Googlen tietosuojakäytännössä olevat tiedot eivät olleet helposti käyttäjien saatavilla. Annettavat perustiedot jaetaan liian monissa asiakirjoissa, ja ne ovat käytettävissä vain useiden vaiheiden jälkeen (joskus jopa 5 tai 6 toimintoa). Siksi se ei ollut GDPR: n mukainen.
Tiedot eivät ole selkeitä. CNIL totesi myös, että osa tiedoista ei ole aina selkeää eikä kattavaa. Käyttäjät eivät voi realistisesti ymmärtää, mitä Google tekee heidän henkilötiedoillaan. Esimerkiksi syyt miksi Google käyttää tietoja, niiden käsittelyn oikeusperusta tai käsiteltyjen tietojen luokat todettiin liian epämääräisiksi.
Ei voimassa olevaa suostumusta räätälöityihin mainoksiin . Google katsoo saaneensa käyttäjän suostumuksen tietojen käsittelyyn mainosten yksilöintitarkoituksia varten, CNIL katsoi, että suostumus ei ollut pätevä kahdesta syystä:
(1) suostumus, ellei siitä ole riittävästi tietoa eikä se voi olla "erityinen" eikä "yksiselitteinen", kun otetaan huomioon, että tiedot on laimennettu useisiin asiakirjoihin.
(2) GDPR: n mukaan suostumus on "erityinen" vain, jos se annetaan erikseen kullekin tarkoitukselle. Google on kuitenkin pyytänyt suostumusta kaikkiin käsittelytoimiin.
Seuraukset . Max Schrems: "Tämä päätös vaatii huomattavia parannuksia Googlelta. Heidän tietosuojakäytäntönsä on nyt todella tehtävä selväksi, mitä he tekevät käyttäjien tiedoilla. Käyttäjien on myös saatava mahdollisuus suostua vain osiin siitä, mitä Google tekee heidän tietonsa kanssa, ja kieltäytyä muista asioista.