Pozadie. V nadväznosti na sťažnostinoyb a podobnej sťažnosti francúzskej mimovládnej organizácie "La Quadrature du Net" CNIL (francúzsky úrad na ochranu údajov) uložil pokutu vo výške 50 miliónov eur eUR spoločnosti Google za neprehľadnú politiku ochrany osobných údajov a chýbajúci právny základ pre personalizované reklamy. Ide o doteraz najvyššia pokuta, ktorú orgán na ochranu údajov prijal ako konečné rozhodnutie. Napriek tomu je výrazne nižšia ako maximálna pokuta podľa GDPR vo výške 4 % celosvetového obratu spoločnosti Google (to by bolo 3,7 mld. EUR). Rozhodnutie CNIL sa zameriavalo najmä na dve konkrétne porušenia GDPR: nedostatočné informovanie používateľov a chýbajúci právny základ na spracúvanie osobných údajov na účely reklamy.
Max Schrems, čestný predseda spoločnosti noyb: "Suma je pre spoločnosť Google nepatrná, ale napriek tomu je dôležitým symbolom, ktorý ukazuje, že pokuty podľa nariadenia GDPR môžu dosiahnuť vážne sumy".
Spoločnosť Google sa proti rozhodnutiu odvolala na francúzsky Conseil d'Etat (najvyšší správny súd) s odôvodnením, že francúzsky orgán na ochranu údajov nemá právomoc nad európskym sídlom spoločnosti Google. Spoločnosť Google okrem iného tvrdila, že všetky prípady alebo vyšetrovania jej postupov by mal viesť írsky orgán na ochranu údajov. Conseil d'Etat potvrdil rozhodnutie CNIL vo všetkých bodoch.
Spoločnosť Google si nemôže vybrať írsky regulačný orgán. V dnešnom rozhodnutíconseil d'Etat potvrdil sankcie a právomoc francúzskeho orgánu na ochranu údajov voči spoločnosti Google. Spoločnosť Google sa pokúsila utiecť do Írska, keďže írsky regulačný orgán ("DPC") doteraz nevydal ani jednu pokutu podľa GDPR voči súkromnému subjektu. Na rozdiel od írskeho regulačného orgánu, ktorému trvalo viac ako 18 mesiacov, kým ukončil správu na stránke sťažnostiach podaných proti spoločnostiam Facebook, Instagram a Whatsapp, CNIL vydal svoju správu do 5 mesiacov 22. októbra 2018 a konečné rozhodnutie vydal do 8 mesiacov.
Max Schrems: "Je veľmi dôležité, aby sa spoločnosti ako Google nemohli jednoducho vyhlásiť za "írske", aby sa vyhli dohľadu zo strany regulačných orgánov na ochranu osobných údajov."
Boj o vnútroštátne právomoci. V rámci EÚ sa "hlavným ustanovením" určuje, ktoré členské štáty sú zodpovedné za presadzovanie GDPR. Ak neexistuje "hlavná prevádzkareň", ktorýkoľvek orgán môže rozhodnúť sám. Štátna rada potvrdila, že aj keď sa európske ústredie spoločnosti Google nachádza v Írsku, írska prevádzkareň nemala v čase rozhodnutia rozhodovaciu právomoc v súvislosti s predmetnými operáciami spracúvania. Keďže sa teda neuplatňoval mechanizmus "jednotného kontaktného miesta", CNIL bol príslušný prijať akékoľvek rozhodnutie týkajúce sa spracovateľských operácií vykonávaných spoločnosťou Google, rovnako ako akýkoľvek iný orgán na ochranu údajov v EÚ.
Informácie nie sú ľahko dostupné. Štátna rada potvrdila posúdenie CNIL: informácie v politike ochrany osobných údajov spoločnosti Google neboli pre používateľov ľahko dostupné. Základné informácie, ktoré sa majú poskytnúť, sú rozptýlené v príliš mnohých dokumentoch a sú prístupné až po niekoľkých krokoch (niekedy až po 5 alebo 6 krokoch). Nebola preto v súlade s nariadením GDPR.
Informácie nie sú jasné. CNIL tiež dospel k záveru, že niektoré informácie nie sú vždy jasné ani komplexné. Používatelia nemôžu reálne pochopiť, čo Google robí s ich osobnými údajmi. Napríklad dôvody, prečo spoločnosť Google používa údaje, právny základ na ich spracovanie alebo kategórie spracúvaných údajov sa považovali za príliš nejasné.
Žiadny platný súhlas s personalizovanými reklamami. Zatiaľ čo spoločnosť Google sa domnieva, že získala súhlas používateľov so spracovaním údajov na účely personalizácie reklám, CNIL dospel k záveru, že takýto súhlas nebol platný z dvoch dôvodov:
(1) súhlas, ak nie je dostatočne informovaný a nemôže byť ani "konkrétny", ani "jednoznačný" vzhľadom na to, že informácie sú zriedené vo viacerých dokumentoch.
(2) okrem toho sa v GDPR stanovuje, že súhlas je "konkrétny" len vtedy, ak je udelený osobitne na každý účel. Spoločnosť Google však požadovala súhlas so všetkými operáciami spracúvania.
Dôsledky. Max Schrems: "Toto rozhodnutie si vyžaduje podstatné zlepšenie zo strany spoločnosti Google. Ich zásady ochrany osobných údajov teraz musia skutočne jasne stanoviť, čo robia s údajmi používateľov. Používatelia musia tiež dostať možnosť súhlasiť len s niektorými časťami toho, čo spoločnosť Google robí s ich údajmi, a ostatné veci odmietnuť".
