kancelaria@przetwarzaniedanych.pl

Kancelaria na Facebooku

Kancelaria na Linkedin

Astronomiczna kara dla Google

Francuski organ ochrony danych osobowych (CNIL) nałożył na firmę Google karę finansową w wysokości 50 mln EURO za przetwarzanie danych osobowych użytkowników niezgodne z przepisami Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO).

Naruszenie zasady przejrzystości 

Informacje dostarczane przez Google nie były łatwo dostępne dla użytkowników, były dostępne dopiero po wielu “klinięciach”. Użytkownicy nie byli w stanie w pełni zrozumieć zakresu operacji przetwarzania przeprowadzanych przez Google.

Cele przetwarzania opisane były w sposób zbyt ogólny i niejasny, podobnie jak kategorie danych przetwarzanych dla tych różnych celów. Przekazane informacje nie były wystarczająco jasne, aby użytkownik mógł zrozumieć, że podstawą prawną operacji przetwarzania w celu personalizacji reklam jest zgoda, a nie uzasadniony interes firmy.

Według organu pozyskiwana przez Google w celu dostarczania spersonalizowanych reklam ​​zgoda nie została ważnie uzyskana z dwóch powodów.

Po pierwsze ​​zgoda użytkownika nie była wystarczająco poinformowana. Informacje o operacjach przetwarzania w zakresie reklam spersonalizowanych były rozproszone w kilku dokumentach i nie umożliwiały użytkownikowi zrozumienia ich zakresu. Na przykład użytkownik mógł nie mieć świadomości istnienia wielu usług, stron internetowych i aplikacji zaangażowanych w operacje przetwarzania danych.

Ponadto pozyskana zgoda nie była “konkretna” ani “jednoznaczna”. Organ zaznacza, że zgoda może być  “jednoznaczna” tylko wówczas, gdy jest wyraźnym działaniem afirmatywnym ze strony użytkownika (poprzez zaznaczenie  przez niego pola wyboru).

Zarzucono, że przed utworzeniem konta w Google, użytkownik jest proszony o zaznaczenie pól “zgadzam się na warunki korzystania z usługi Google” i “wyrażam zgodę na przetwarzanie moich danych zgodnie z powyższym opisem i dokładniej wyjaśnionych w Polityce prywatności” w celu utworzenia konta. Co oznacza, że użytkownik wyrażał swoją zgodę w całości, dla wszystkich operacji przetwarzania danych przeprowadzanych przez Google na podstawie tej zgody (personalizacja reklam, rozpoznawanie mowy itp.).

Organ przypomniał, iż zgodnie z RODO zgoda jest “konkretna” tylko wtedy, gdy jest wyraźnie udzielona dla każdego celu.

Reasumując firma Google otrzymała karę w szczególności za brak respektowania zasady przejrzystości a także naruszenie wymogów w zakresie pozyskiwania zgód, które nie spełniały wymogów RODO a więc uchybienia dotyczyły zupełnie podstawowych wymogów RODO.

Dla przypomnienia RODO zapewnia podmiotom danych prawo do przejrzystego informowania i przejrzystej komunikacji (zasada przejrzystości). Wszelkie informacje i komunikaty związane z przetwarzaniem danych muszą być łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Przetwarzanie danych przez Google nie było zgodne z tą zasadą.

RODO wymaga, aby zgoda na przetwarzanie danych była dobrowolna, konkretna, świadoma i jednoznaczna, okazana w formie oświadczenia lub wyraźnego działania potwierdzającego np. przez zaznaczenie okienka wyboru na stronie internetowej czy formularzu. Milczenie lub brak podjęcia działań zmierzających do wyrażenia zgody, nie może być traktowane jako zgoda.

Niestety podobne uchybienia w zakresie przetwarzania danych, jak te opisane wyżej, są powszechne i dotyczą wielu firm działających w internecie (i nie tylko). Dla tych właśnie podmiotów, serwisów i różnego rodzaju portali jest to znak, iż należy dokonać jeszcze raz sprawdzenia tak, aby zapewniać zgodność przetwarzania z RODO i uniknąć podobnych jak Google konsekwencji.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d bloggers like this: