Háttér. Egy panasz a noyb és egy hasonló panasz a "La Quadrature du Net" francia nem kormányzati szervezet által benyújtott panaszra a CNIL (a francia adatvédelmi hatóság) 50 millió eurós bírságot szabott ki a Google-t a vállalat átláthatatlan adatvédelmi politikája és a személyre szabott hirdetések jogalapjának hiánya miatt. Ez eddig a legmagasabb bírság, amelyet az adatvédelmi hatóság jogerős határozattal fogadott el. Mindazonáltal jóval a GDPR szerinti maximális bírság alatt van, amely a Google globális forgalmának 4%-a (ez 3,7 milliárd euró lenne). A CNIL határozata elsősorban két konkrét GDPR-szabálysértésre összpontosított: a felhasználók nem kaptak elegendő tájékoztatást, és a személyes adatok reklámcélú feldolgozásának jogalapja nem volt meg.
Max Schrems, a noyb tiszteletbeli elnöke: "Az összeg a Google számára csekély, de mégis fontos szimbólum, amely megmutatja, hogy a GDPR-bírságok komoly összegeket is elérhetnek".
A döntést a Google megfellebbezte a francia Conseil d'Etat (a legfelsőbb közigazgatási bíróság) előtt azzal az indokkal, hogy a francia adatvédelmi hatóság nem rendelkezik joghatósággal a Google európai központja felett. A Google többek között azt állította, hogy az ír adatvédelmi hatóságnak kellene vezetnie a gyakorlatával kapcsolatos ügyeket vagy vizsgálatokat. A Conseil d'Etat minden ponton helyt ad a CNIL határozatának.
A Google nem választhatja meg az ír szabályozó hatóságot. A mai napon határozatbana Conseil d'Etat megerősítette a francia adatvédelmi hatóság szankcióját és joghatóságát a Google felett. A Google megpróbált Írországba menekülni, mivel az ír szabályozó hatóság ("DPC") eddig egyetlen bírságot sem szabott ki a GDPR alapján magánszereplővel szemben. Ellentétben az ír szabályozó hatósággal, amely több mint 18 hónapot vett igénybe, hogy a jelentés a oldalon panaszok a Facebook, az Instagram és a Whatsapp ellen benyújtott panaszokról, a CNIL 5 hónapon belül, 2018. október 22-én adta ki jelentését, és 8 hónapon belül végleges határozatot hozott.
Max Schrems: "Nagyon fontos, hogy az olyan vállalatok, mint a Google, nem nyilváníthatják magukat egyszerűen "írnek", hogy megmeneküljenek az adatvédelmi szabályozó hatóságok felügyelete elől."
Harc a nemzeti hatáskörökért. Az EU-n belül a "fő létesítmény" határozza meg, hogy melyik tagállam felelős a GDPR betartatásáért. Ha nincs "fő létesítmény", bármelyik hatóság maga dönthet. A Conseil d'Etat megerősítette, hogy még ha a Google európai központja Írországban is található, az írországi telephely nem rendelkezett döntéshozatali hatáskörrel a szóban forgó adatkezelési műveletek tekintetében a döntés időpontjában. Mivel tehát az "egyablakos mechanizmus" nem volt alkalmazható, a CNIL hatáskörrel rendelkezett a Google által végzett adatkezelési műveletekkel kapcsolatos bármely határozat meghozatalára, mint bármely más adatvédelmi hatóság az EU-ban.
Nem könnyen hozzáférhető információk. A Conseil d'Etat megerősítette a CNIL értékelését: a Google adatvédelmi szabályzatában szereplő információk nem voltak könnyen hozzáférhetőek a felhasználók számára. A megadandó alapvető információk túl sok dokumentumban vannak szétszórva, és csak több lépés (néha akár 5-6 művelet) után érhetők el. Ezért nem felelt meg a GDPR-nak.
A tájékoztatás nem egyértelmű. A CNIL azt is megállapította, hogy egyes információk nem mindig egyértelműek és nem is átfogóak. A felhasználók nem érthetik meg reálisan, hogy a Google mit csinál a személyes adataikkal. Például túl homályosnak találták, hogy a Google miért használja fel az adatokat, az adatkezelés jogalapját vagy a feldolgozott adatok kategóriáit.
Nincs érvényes hozzájárulás a személyre szabott hirdetésekhez. Míg a Google úgy véli, hogy megkapta a felhasználó hozzájárulását a hirdetések személyre szabása céljából történő adatfeldolgozáshoz, a CNIL megállapította, hogy ez a hozzájárulás két okból sem volt érvényes:
(1) a hozzájárulás, ha nem kellően tájékozott, és nem lehet sem "konkrét", sem "egyértelmű", tekintettel arra, hogy az információ több dokumentumban is felhígul.
(2) továbbá a GDPR úgy rendelkezik, hogy a hozzájárulás csak akkor "konkrét", ha azt minden egyes célra külön-külön adják meg. A Google azonban valamennyi adatkezelési művelethez hozzájárulást kért.
Következmények. Max Schrems: "Ez a döntés jelentős fejlesztéseket igényel a Google részéről. Adatvédelmi szabályzatuknak most már tényleg kristálytisztán ki kell fejtenie, hogy mit csinálnak a felhasználók adataival. A felhasználóknak lehetőséget kell kapniuk arra is, hogy csak bizonyos részeibe egyezzenek bele annak, amit a Google az adataikkal tesz, és más dolgokat elutasíthassanak".
