Achtergrond. Na een klachtdoor noyb en een soortgelijke klacht door de Franse NGO "La Quadrature du Net" de CNIL (de Franse gegevensbeschermingsautoriteit) een boete van 50 miljoen euro opgelegd op Google over het ondoorzichtige privacybeleid van het bedrijf en het ontbreken van een rechtsgrondslag voor gepersonaliseerde advertenties. Dit is tot nu toe de hoogste geldboete die door een DPA als eindbeschikking is vastgesteld. Desalniettemin ligt de boete ruim onder het maximum van 4% van de wereldwijde omzet van Google (dit zou 3,7 miljard euro zijn) Het besluit van de CNIL richtte zich voornamelijk op twee specifieke GDPR-inbreuken: het gebrek aan voldoende informatie voor de gebruikers en het ontbreken van een rechtsgrondslag voor de verwerking van persoonsgegevens voor reclamedoeleinden
Max Schrems, erevoorzitter van noyb:"Het bedrag is klein voor Google, maar nog steeds een belangrijk symbool om aan te tonen dat GDPR-boetes ernstige bedragen kunnen bereiken".
Tegen de beslissing is door Google beroep aangetekend bij de Franse Raad van State (de hoogste administratieve rechtbank) met als argument dat het Franse DPA niet bevoegd is voor het Europese hoofdkantoor van Google. Google beweerde onder meer dat de Ierse gegevensbeschermingsautoriteit de leiding zou moeten hebben over alle zaken of onderzoeken naar haar praktijken. De Conseil d'Etat bevestigt de beslissing van de CNIL op alle punten
Google kan niet kiezen voor de Ierse toezichthouder In het besluitDe Conseil d'Etat heeft de sanctie en de jurisdictie van het Franse DPA over Google bevestigd. Google heeft geprobeerd naar Ierland te vluchten, aangezien de Ierse regelgevende instantie ("DPC") tot nu toe geen enkele boete in het kader van het bbpR heeft opgelegd aan een particuliere marktdeelnemer. In tegenstelling tot de Ierse toezichthouder, die er meer dan 18 maanden over deed om een boete op te leggen verslag op klachten de CNIL heeft op 22 oktober 2018 binnen 5 maanden verslag uitgebracht tegen Facebook, Instagram en Whatsapp en binnen 8 maanden een definitieve beslissing genomen.
Max Schrems: "Het is heel belangrijk dat bedrijven zoals Google zich niet zomaar 'Iers' kunnen verklaren om aan het toezicht van de privacyregulatoren te ontsnappen
Strijd over nationale bevoegdheden Binnen de EU bepaalt de "hoofdvestiging" welke lidstaten belast zijn met de handhaving van de BBPR. Als er geen "hoofdvestiging" is, kan elke autoriteit zelf beslissen. De Conseil d'Etat bevestigde dat, zelfs als het Europese hoofdkwartier van Google in Ierland was gevestigd, de Ierse vestiging op het moment van de beslissing geen beslissingsbevoegdheid had over de betreffende verwerkingsoperaties. Aangezien het "one-stop-shop"-mechanisme dus niet van toepassing was, was de CNIL bevoegd om een beslissing te nemen over de verwerkingsactiviteiten van Google, zoals elke andere gegevensbeschermingsautoriteit in de EU
Informatie die niet gemakkelijk toegankelijk is. De Conseil d'Etat bevestigde het oordeel van de CNIL: de informatie in het privacybeleid van Google was niet gemakkelijk toegankelijk voor gebruikers. De te verstrekken basisinformatie wordt over te veel documenten verspreid en is pas na meerdere stappen (soms tot 5 of 6 acties) toegankelijk. Het was dus niet in overeenstemming met de GDPR
Informatie is niet duidelijk. De CNIL concludeerde ook dat sommige informatie niet altijd duidelijk of volledig is. De gebruiker kan realistisch gezien niet begrijpen wat Google met zijn persoonlijke gegevens doet. Zo werden bijvoorbeeld de redenen waarom Google gegevens gebruikt, de wettelijke basis voor de verwerking ervan of de categorieën van verwerkte gegevens te vaag bevonden
Geen geldige toestemming voor gepersonaliseerde advertenties. Terwijl Google van mening is dat het de toestemming van de gebruiker heeft verkregen om gegevens te verwerken voor de personalisering van advertenties, heeft de CNIL geconcludeerd dat deze toestemming om twee redenen niet geldig is
(1) de toestemming indien deze niet voldoende geïnformeerd is en niet "specifiek" of "ondubbelzinnig" kan zijn, gezien het feit dat de informatie in verschillende documenten is verwaterd
(2) Bovendien bepaalt de BBPR dat de toestemming alleen "specifiek" is als deze voor elk doel afzonderlijk wordt gegeven. Google heeft echter toestemming gevraagd voor alle verwerkingen.
Gevolgen. Max Schrems: "Deze beslissing vereist substantiële verbeteringen door Google. Hun privacybeleid moet nu echt duidelijk maken wat ze met de gegevens van gebruikers doen. Gebruikers moeten ook de mogelijkheid krijgen om in te stemmen met slechts enkele delen van wat Google met hun gegevens doet en andere dingen te weigeren".