Komisja ds. Wolności i Informatyki (Commission Nationale de l’Informatique et des Libertés – CNIL), nałożyła karę w wysokości 50 mln euro na Google za brak wyraźnego informowania użytkowników o tym, co robi z ich danymi, a metody zbierania informacji przez firmę opisała jako „przytłaczające i inwazyjne”.

W dniach 25 i 28 maja 2018 roku CNIL otrzymała dwie skargi grupowe od stowarzyszeń Noone Of Your Business („NOYB”) i La Quadrature du Net („LQDN”). W obydwu skargach stowarzyszenia zarzucają Google brak posiadania ważnej podstawy prawnej do przetwarzania danych osobowych swoich użytkowników, szczególnie w celu personalizacji reklam.

Podczas rozpatrywania otrzymanych skarg, CNIL postanowiła we wrześniu 2018 roku przeprowadzić kontrole usług świadczonych online przez amerykańskiego giganta. Celem kontroli było sprawdzenie, czy operacje przetwarzania danych osobowych użytkowników Google są zgodne z przepisami francuskiej ustawy o ochronie danych osobowych oraz RODO. Podczas przeprowadzania audytu Komisja zidentyfikowała dwa rodzaje naruszeń – pierwszym było niedopełnienie obowiązków administratora dotyczących zachowania przejrzystości i rzetelnego informowania, drugie natomiast polegało na braku należytego odbierania zgody od użytkowników na kierowanie spersonalizowanych reklam.

Pierwszym zarzutem, jaki podniosła CNIL, był brak przesłanki „łatwego dostępu” do informacji o  danych użytkownika przetwarzanych przez Google. Niezbędne informacje, takie jak cele przetwarzania danych, okresy ich przechowywania lub kategorie danych osobowych wykorzystywanych do personalizacji reklam, są nadmiernie rozproszone w poszczególnych dokumentach, które z kolei zawierają pola i linki wymagające kliknięcia, aby uzyskać dostęp do pełnej informacji. Z powyższego wynika, że poszukiwane informacje dostępne są dopiero po wykonaniu kilku kroków przez użytkownika, co nie spełnia przesłanki „łatwego dostępu” opisanej w motywie 63 RODO.

Drugi zarzut dotyczy braku należytego odbierania zgody od użytkowników w celu wyświetlania ukierunkowanych reklam. Google twierdzi, że za każdym razem ​​uzyskuje zgodę użytkownika na przetwarzanie danych do celów personalizacji reklam. Jednakże CNIL wskazuje, że ​​zgoda taka nie została ważnie uzyskana z dwóch powodów:

Po pierwsze, ​​użytkownik wyrażający zgodę nie jest dostatecznie poinformowany w jakim celu jego dane będą przetwarzane. Informacje o operacjach przetwarzania w celu personalizacji reklam są umieszczone w kilku sekcjach, co znacznie utrudnia użytkownikowi swobodne zapoznanie się z nimi.

Po drugie, CNIL zauważa, że ​​zebrana zgoda nie jest „konkretna” ani „jednoznaczna”. „Konkretność” zgody polega na tym, że powinna być dokładnie określona, precyzyjna i rzeczowa oraz ma się odnosić do jednego celu. „Jednoznaczność” zgody z kolei oznacza, że w sposób niebudzący wątpliwości potwierdza ona wolę przetwarzania danych osobowych osoby fizycznej w konkretnym zakresie oraz celu. Do powyższych wniosków CNIL doszło po zarejestrowaniu się w serwisie jako nowy użytkownik Google.

Po utworzeniu konta, użytkownik może modyfikować niektóre ustawienia klikając przycisk „Więcej opcji”, dostępny nad przyciskiem „Utwórz konto”. Okazuje się, że wchodząc w zakładkę „Więcej opcji”, pole w którym użytkownik może zezwolić na wyświetlanie spersonalizowanych reklam, jest już zaznaczone.

Komisja wskazuje, że ta praktyka nie jest zgodna z przepisami RODO, ponieważ zgoda użytkownika nie została wyrażona jednoznacznie oraz w sposób konkretny. Mając na uwadze przepisy RODO należy pamiętać, że zgoda jest „jednoznaczna” tylko za wyraźnym działaniem potwierdzającym ze strony użytkownika (np. poprzez zaznaczenie pola wyboru), a „konkretna” tylko wtedy, gdy jest wyraźnie przyznana dla każdego celu oddzielnie.

W wyniku przeprowadzonej kontroli CNIL nałożyła karę finansową na Google w wysokości 50 milionów euro. Jest to pierwsza kara w takiej wysokości nałożona za naruszenie przepisów ogólnego rozporządzenia o ochronie danych osobowych. Komisja wskazuje, że ustalona kwota i jawność grzywny są uzasadnione stopniem naruszeń zaobserwowanych w odniesieniu do podstawowych zasad RODO: przejrzystości, informacji oraz zgody. Ponadto wskazane naruszenia nie są jednorazowe ani ograniczone w czasie, tylko mają charakter ciągły.

Pomimo wysokiej kary, Google może odetchnąć z ulgą. Przepisy RODO stanowią, że za naruszenie przepisów przedsiębiorstwo może zostać ukarane grzywną w wysokości 20 mln EUR lub 4% rocznych przychodów globalnych za poprzedni rok. Statystyki wskazują, że roczny globalny dochód firmy za ostatni kwartał 2018 roku to niecałe 30 miliardów euro.

Kara nałożona przez CNIL na amerykańskiego giganta powinna stanowić ostrzeżenie dla wszystkich administratorów danych. Należy pamiętać, że po wejściu w życie RODO, osoby, których dane dotyczą mają prawo do uzyskania szerokiego wachlarza informacji na temat przetwarzania ich danych osobowych przez administratora.

Motyw 60 preambuły RODO wskazuje że osoba, której dane dotyczą, musi być poinformowana o fakcie prowadzenia operacji przetwarzania jej danych osobowych i o celach takiego przetwarzania. Co więcej administrator powinien podać wszelkie inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i kontekst przetwarzania danych osobowych. Brak stosowania się do powyższych zaleceń oraz nierzetelne realizowanie obowiązku informacyjnego może skutkować nałożeniem wysokiej kary na administratora danych przez organ nadzorczy. Bez wątpienia okres przejściowy, tzn. od czasu rozpoczęcia stosowania RODO do końca 2018 roku, jest już za nami. Do tej pory krajowy organ nadzorczy (PUODO) nie nałożył jeszcze administracyjnej kary finansowej. W roku 2019 na pewno ulegnie to zmianie, jak zapowiada sama Prezes UODO.