Tło. Po skargaprzez noyb i podobne reklamacja przez francuską organizację pozarządową "La Quadrature du Net" CNIL (Francuski Urząd Ochrony Danych) nałożył grzywnę w wysokości 50 milionów euro w Google nad nieprzejrzystą polityką prywatności firmy i brakiem podstaw prawnych dla spersonalizowanych reklam. Jest to jak na razie najwyższy grzywna przyjęta przez organ ochrony danych jako ostateczna decyzja. Jest ona jednak znacznie niższa niż maksymalna grzywna w ramach PKBR wynosząca 4% globalnego obrotu Google (wyniosłaby 3,7 mld EUR) Decyzja CNIL koncentrowałasię głównie na dwóch konkretnych naruszeniach PKBR: braku wystarczających informacji dla użytkowników i braku podstawy prawnej do przetwarzania danych osobowych do celów reklamowych
Max Schrems, honorowy prezes Noyb:"Kwota ta jest niewielka dla Google, ale nadal jest ważnym symbolem pokazującym, że grzywny GDPR mogą osiągnąć poważne kwoty".
Decyzja ta została zaskarżona przez Google do francuskiego Conseil d'Etat (najwyższego sądu administracyjnego), ponieważ francuski organ ochrony danych nie ma jurysdykcji nad europejską siedzibą Google. Google twierdził między innymi, że irlandzki organ ochrony danych powinien prowadzić wszelkie sprawy lub dochodzenia dotyczące jego praktyk. Conseil d'Etat podtrzymuje decyzję CNIL we wszystkich punktach
Google nie może wybrać irlandzkiego regulatora W dzisiejszych czasach decyzjaConseil d'Etat potwierdziła sankcję i jurysdykcję francuskiego organu ochrony danych nad firmą Google. Google próbował uciec do Irlandii, ponieważ irlandzki organ regulacyjny ("DPC") jak dotąd nie wydał ani jednej grzywny w ramach GDPR przeciwko podmiotowi prywatnemu. W odróżnieniu od irlandzkiego organu regulacyjnego, którego ukończenie zajęło ponad 18 miesięcy raport na stronie reklamacje złożony przeciwko Facebookowi, Instagramowi i Whatsappowi, CNIL wydał swój raport w ciągu 5 miesięcy 22 października 2018 roku i wydał ostateczną decyzję w ciągu 8 miesięcy.
Max Schrems: "To bardzo ważne, że firmy takie jak Google nie mogą po prostu zadeklarować się jako "Irlandczycy", aby uniknąć nadzoru ze strony regulatorów prywatności"
Walka o kompetencje krajowe W ramach UE "główna siedziba" określa, które państwa członkowskie są odpowiedzialne za egzekwowanie PKBR. W przypadku braku "głównej siedziby" każdy organ może decydować samodzielnie. Conseil d'Etat potwierdziła, że nawet jeśli europejska siedziba główna Google znajduje się w Irlandii, irlandzki oddział nie posiadał uprawnień decyzyjnych w zakresie operacji przetwarzania danych, o których mowa w momencie podejmowania decyzji. Ponieważ "mechanizm kompleksowej obsługi" nie miał zatem zastosowania, CNIL była uprawniona do podejmowania wszelkich decyzji dotyczących operacji przetwarzania danych przeprowadzanych przez Google, tak jak każdy inny organ ochrony danych w UE
Informacje nie są łatwo dostępne. Conseil d'Etat potwierdziła ocenę CNIL: informacje zawarte w polityce prywatności Google nie były łatwo dostępne dla użytkowników. Podstawowe informacje, które należy dostarczyć, są rozpowszechniane w zbyt wielu dokumentach i dostępne dopiero po kilku krokach (czasami do 5 lub 6 działań). W związku z tym nie były one zgodne z PKBR
Informacja nie jest jednoznaczna. CNIL stwierdziła również, że niektóre informacje nie zawsze są jasne i wyczerpujące. Użytkownicy nie mogą realistycznie zrozumieć, co Google robi z ich danymi osobowymi. Na przykład powody, dla których Google korzysta z danych, podstawa prawna ich przetwarzania lub kategorie przetwarzanych danych zostały uznane za zbyt niejasne
Brak ważnej zgody na spersonalizowane reklamy. Podczas gdy Google uważa, że uzyskał zgodę użytkownika na przetwarzanie danych w celu personalizacji reklam, CNIL stwierdziła, że taka zgoda nie jest ważna z dwóch powodów
(1) zgoda, jeżeli nie jest wystarczająco poinformowana i nie może być ani "szczegółowa", ani "jednoznaczna", biorąc pod uwagę, że informacje te są rozcieńczone w kilku dokumentach
(2) Ponadto PKBR przewiduje, że zgoda jest "specyficzna" tylko wtedy, gdy jest udzielana oddzielnie dla każdego celu. Google zażądał jednak zgody na wszystkie operacje przetwarzania danych.
Konsekwencje . Max Schrems: "Ta decyzja wymaga znacznych usprawnień ze strony Google. Ich polityka prywatności musi teraz naprawdę jasno określić, co robią z danymi użytkowników. Użytkownicy muszą również mieć możliwość wyrażenia zgody tylko na niektóre części tego, co Google robi z ich danymi i odmówić innych rzeczy".