Dostawca najpopularniejszej na świecie wyszukiwarki internetowej, poczty, serwisów reklamowych, przeglądarki, chmury oraz innych produktów i usług często konfrontowany był z europejskimi wymaganiami dotyczącymi ochrony danych i prywatności. Poprzednie wersje polityki prywatności Google, m.in. w 2012 r., były ostro krytykowane przez wielu przedstawicieli europejskich organów nadzorczych – przede wszystkim za to, że pozwalała ona na nieograniczone i niekontrolowane przetwarzanie danych użytkowników bez ich zgody. Według CNIL, „fakt, że Google informuje użytkowników w jaki sposób nie będzie wykorzystywał danych osobowych oraz przetworzonych informacji na temat działań wykonywanych przez nich w poszczególnych serwisach nie wystarcza do zapewnienia pełnego obrazu (…)”. Dwa lata później, na skutek wyroku stwierdzającego istnienie prawa do bycia zapomnianym i pozwalającego określonym osobom zwracać się do właścicieli wyszukiwarek o usunięcie wyników wyszukiwania zawierających ich dane osobowe, firma musiała wdrożyć specjalny proces i powołać dedykowany zespół, który takie wnioski analizuje i ocenia.

To jednak wydaje się niczym przy ilości pracy, jaka zapewne czeka Google, aby wdrożyć RODO. Oczywiście, schemat jest tradycyjny, żeby nie powiedzieć – taki sam jak przy poprzednikach. Podstawą działania było stworzenie multidyscyplinarnego zespołu i przeprowadzenie audytu zerowego przez duże firmy konsultingowe.

Zgoda – największe wyzwanie

Keith Enright, dyrektor działu prywatności Google, uznaje GDPR za bardzo ambitne prawo. Jednym z wyzwań jakim musi sprostać firma są standardy dotyczące zgody na przetwarzanie danych osobowych. Sedno problemu związanego z dobrowolnością i świadomością zgody polega na tym, jak zaprojektowany jest dany produkt lub usługa, i w jaki sposób ma to zostać przedstawione użytkownikowi. Bardzo trudno jest znaleźć metodę, która dałaby użytkownikowi jasne i proste, ale jednocześnie precyzyjne informacje, konieczne do tego, aby podjął on świadomą decyzje, czy chce korzystać z danej technologii. Informacje, jakie otrzymuje osoba, powinny być przede wszystkim użyteczne. Jak podkreśla Enright, dużo wysiłku należy włożyć nie tylko w samo wzmocnienie prywatności użytkowników, ale również w przełożenie tego na transparentną politykę prywatności. Widać zresztą, że próbując sprostać wymaganiom dotyczącym obowiązku informacyjnego Google sukcesywnie rozbudowuje swoje ogólne warunki korzystania z usług i politykę prywatności.

Nadzieja na jedno prawo

Według przedstawicieli Google, najważniejszą zaletą GDPR’u miało być przede wszystkim ujednolicenie przepisów na poziomie europejskim. Co do tego jednak są duże wątpliwości – sam Enright mówi: „Tak naprawdę ciągle nie wiemy, co mamy”. Obawia się on, że po pierwsze: każde państwo i lokalne instytucje (sądy, organy nadzorcze) będą odmiennie interpretować nowe przepisy,  po drugie, wiele pojęć i kwestii wciąż pozostaje niewyjaśnionych, co pozostawia duży margines niepewności, nie pozwalając na podjęcie wszystkich kluczowych decyzji. Brak pewności między innymi co do tego, czy DPO firmy mającej główną siedzibą na terytorium Stanów Zjednoczonych, może tam na stałe rezydować.  Enright  podkreśla jednocześnie, że takie wyzwania są wpisane w działalność globalnych firm i dodaje: „biorąc pod uwagę nasze doświadczenia w Europie, nigdy tak naprawdę nie łudziliśmy się, że powstanie jednolite europejskie prawo ochrony danych”.

Kary – inny punkt widzenia

Enright wspomina o tym, że do GDPR nie powinno się podchodzić jak do problemu, który można uznać za zamknięty w maju 2018 r. Ma on jednak pewne obawy związane z tym,  że wielkie sankcje za nieprzestrzeganie nowych przepisów wcale tak szybko się nie pojawią. A to oznacza, że coś, co jest głównym argumentem w rozmowie z osobami decyzyjnymi w firmach, może bardzo szybko stracić na znaczeniu. Istnieje ryzyko, że jeśli po 25 maja 2018 r.  faktycznie organy nadzorcze nie nałożą żadnej znaczącej kary i uwaga zarządów firm zostanie bezpowrotnie stracona. To może z kolei znacząco podważyć działania firm mające na celu opracowanie i wdrożenie długoterminowego podejścia do ochrony danych i prywatności.

Wsparcie z zewnątrz

W trakcie jednego z paneli dyskusyjnych dotyczących zmian dokonujących się w organizacjach na skutek RODO, Enright wspominał, jak ważna (w szczególności dla firm z sektora high tech) jest otwarta oraz szczera rozmowa z organami nadzorczymi. Dużo firm ma szczerą wolę, aby w pełni oraz skutecznie zaimplementować GDPR i poświęca mnóstwo energii oraz środków na wdrożenie pewnych rozwiązań. Bez debaty poprzedzającej ich wprowadzenie może się okazać, że nie spełniają one wymagań RODO. Aby nie popełnić tego katastrofalnego w skutkach błędu, Google pozostaje też w kontakcie z przedstawicielami środowisk akademickich, śledzi opinie Gruby Roboczej Art. 29 oraz obserwuje działania i opinie organów nadzorczych w poszczególnych państwach członkowskich. Dodaje, że te dyskusje zapewne jeszcze długo będą trwały.

Co z tą chmurą?

W szerokim portfolio Google znajdują się m.in. usługi w chmurze. Na odbywającej się niedawno konferencji firma poruszyła temat działań podejmowanych w związku z dostosowaniem chmury do GDPR. Wzmocnieniu kontroli nad bezpieczeństwem danych w chmurze ma służyć m.in. wprowadzenie rozwiązań takich jak specjalny system zarządzania kluczem szyfrowania oraz wprowadzenie panelu kontrolnego, za pomocą którego użytkownicy będą  mogli szczegółowo określać dostęp do przechowywanych w chmurze baz danych po stronie swojej organizacji, zarządzać hasłami dostępu etc. Google pracuje też intensywnie nad aktualizacją umów powierzenia danych, będących fundamentem relacji klient – dostawca chmury, aby spełniały one drobiazgowe wymagania RODO.

Autor: Agnieszka Michalik

Źródła:

https://www.theguardian.com/technology/2012/oct/16/google-privacy-policies-eu-data-protection

https://www.blog.google/topics/google-cloud/google-cloud-our-commitment-general-data-protection-regulation-gdpr/

http://www.cloudpro.co.uk/leadership/6779/google-calls-gdpr-compliance-a-shared-responsibility

https://www.rsaconference.com/videos/hot-topics-in-privacy-a-conversation-with-google-microsoft-and-cisco

https://www.irishtimes.com/business/technology/google-eu-s-data-protection-authorities-have-absolute-focus-on-privacy-1.2556597

https://support.google.com/accounts/answer/3024190?hl=en

https://www.youtube.com/watch?v=odoTMwDg82Y

Related Post