Η περιορισμένη επιτροπή της CNIL επιβάλλει χρηματική ποινή 50 εκατομμυρίων ευρώ έναντι της GOOGLE LLC
Στις 21 Ιανουαρίου 2019, η επιτροπή περιορισμένης ευθύνης της CNIL επέβαλε χρηματική ποινή ύψους 50 εκατομμυρίων ευρώ έναντι της εταιρείας GOOGLE LLC, σύμφωνα με τον Κανονισμό Γενικής Προστασίας Δεδομένων (GDPR), λόγω έλλειψης διαφάνειας, ανεπαρκούς πληροφόρησης και έλλειψης έγκυρης συναίνεσης σχετικά με τις διαφημίσεις εξατομίκευση.
Στις 25 και 28 Μαΐου 2018, η Εθνική Επιτροπή Προστασίας Δεδομένων (CNIL) έλαβε ομαδικές καταγγελίες από τις ενώσεις None of Your Business ("NOYB") και την La Quadrature du Net ("LQDN"). Το LQDN είχε εντολή από 10 000 άτομα να παραπέμψει το ζήτημα στο CNIL. Στις δύο καταγγελίες, οι ενώσεις κατηγορούν τη GOOGLE ότι δεν έχει έγκυρη νομική βάση για τη διεκπεραίωση των προσωπικών δεδομένων των χρηστών των υπηρεσιών της, ιδίως για σκοπούς προσωποποίησης διαφημίσεων.
Οι παραβιάσεις που παρατηρήθηκαν από την επιτροπή περιορισμένης ευθύνης.
Βάσει των επιθεωρήσεων που διεξήχθησαν, η επιτροπή περιορισμένης ευθύνης του CNIL, αρμόδια για την εξέταση παραβιάσεων του νόμου περί προστασίας δεδομένων, παρατήρησε δύο τύπους παραβιάσεων του GDPR.
Παραβίαση των υποχρεώσεων διαφάνειας και ενημέρωσης:
Πρώτον, η επιτροπή περιορισμένης πρόσβασης παρατηρεί ότι οι πληροφορίες που παρέχονται από το GOOGLE δεν είναι εύκολα προσπελάσιμες για τους χρήστες.
Πράγματι, η γενική διάρθρωση των πληροφοριών που επέλεξε η εταιρεία δεν επιτρέπει τη συμμόρφωση με τον κανονισμό. Βασικές πληροφορίες, όπως οι σκοποί της επεξεργασίας δεδομένων, οι περίοδοι αποθήκευσης δεδομένων ή οι κατηγορίες προσωπικών δεδομένων που χρησιμοποιούνται για την εξατομίκευση διαφημίσεων, διαδίδονται υπερβολικά σε πολλά έγγραφα, με κουμπιά και συνδέσμους για τους οποίους απαιτείται να κάνουν κλικ για να αποκτήσουν συμπληρωματικές πληροφορίες. Οι σχετικές πληροφορίες είναι προσβάσιμες μόνο μετά από μερικά βήματα, γεγονός που υποδηλώνει μερικές φορές μέχρι 5 ή 6 ενέργειες. Για παράδειγμα, αυτό συμβαίνει όταν ένας χρήστης επιθυμεί να έχει πλήρη στοιχεία σχετικά με τα δεδομένα του ή των δεδομένων του που συλλέγονται για σκοπούς εξατομίκευσης ή για την υπηρεσία γεωγραφικού εντοπισμού.
Επιπλέον, η επιτροπή περιορισμένης ευθύνης παρατηρεί ότι ορισμένες πληροφορίες δεν είναι πάντα σαφείς ούτε πλήρεις.
Οι χρήστες δεν είναι σε θέση να κατανοήσουν πλήρως την έκταση των εργασιών επεξεργασίας που πραγματοποιούνται από το GOOGLE. Αλλά οι διαδικασίες επεξεργασίας είναι ιδιαίτερα μαζικές και παρεμβατικές εξαιτίας του αριθμού των προσφερόμενων υπηρεσιών (περίπου είκοσι), του όγκου και της φύσης των δεδομένων που επεξεργάζονται και συνδυάζονται. Η επιτροπή περιορισμένης ευθύνης παρατηρεί, ειδικότερα, ότι οι σκοποί της επεξεργασίας περιγράφονται με υπερβολικά γενικό και αόριστο τρόπο, όπως και οι κατηγορίες δεδομένων που υποβάλλονται σε επεξεργασία για τους διάφορους αυτούς σκοπούς. Ομοίως, οι πληροφορίες που διαβιβάζονται δεν είναι αρκετά σαφείς ώστε ο χρήστης να κατανοήσει ότι η νομική βάση των πράξεων επεξεργασίας για την εξατομίκευση διαφημίσεων είναι η συγκατάθεση και όχι το νόμιμο συμφέρον της εταιρείας. Τέλος, η επιτροπή περιορισμένης πρόσβασης παρατηρεί ότι δεν παρέχονται πληροφορίες σχετικά με την περίοδο διατήρησης για ορισμένα δεδομένα.
Παραβίαση της υποχρέωσης νομικής βάσης για την επεξεργασία εξατομίκευσης διαφημίσεων:
Η εταιρεία GOOGLE δηλώνει ότι λαμβάνει τη συγκατάθεση του χρήστη για την επεξεργασία δεδομένων για σκοπούς προσωποποίησης διαφημίσεων. Ωστόσο, η επιτροπή περιορισμένης ευθύνης θεωρεί ότι η συναίνεση δεν έχει ληφθεί εγκύρως για δύο λόγους.
Πρώτον, η επιτροπή περιορισμένης ευθύνης παρατηρεί ότι η συναίνεση των χρηστών δεν είναι επαρκώς ενημερωμένη.
Οι πληροφορίες σχετικά με τις διαδικασίες επεξεργασίας για την εξατομίκευση διαφημίσεων αραιώνονται σε πολλά έγγραφα και δεν επιτρέπουν στον χρήστη να γνωρίζει την έκτασή τους. Για παράδειγμα, στην ενότητα "Εξατομίκευση διαφημίσεων" δεν είναι δυνατόν να γνωρίζετε την πληθώρα υπηρεσιών, ιστότοπων και εφαρμογών που εμπλέκονται σε αυτές τις διεργασίες επεξεργασίας (αναζήτηση Google, δοκιμαστικό σωλήνα, σπίτι Google, χάρτες Google, Playstore, εικόνες Google ... ) και συνεπώς του όγκου των δεδομένων που υποβλήθηκαν σε επεξεργασία και σε συνδυασμό.
Στη συνέχεια, η επιτροπή περιορισμένης ευθύνης παρατηρεί ότι η συλλεγμένη συγκατάθεση δεν είναι ούτε "ειδική" ούτε "διφορούμενη".
Όταν δημιουργείται ένας λογαριασμός, ο χρήστης μπορεί βεβαίως να τροποποιήσει κάποιες επιλογές που σχετίζονται με τον λογαριασμό κάνοντας κλικ στο κουμπί «Περισσότερες επιλογές», πάνω από το κουμπί «Δημιουργία Λογαριασμού». Είναι ιδιαίτερα δυνατό να ρυθμίσετε την εμφάνιση εξατομικευμένων διαφημίσεων.
Αυτό δεν σημαίνει ότι το GDPR είναι σεβαστό. Πράγματι, ο χρήστης όχι μόνο πρέπει να κάνει κλικ στο κουμπί "Περισσότερες επιλογές" για να αποκτήσει πρόσβαση στη διαμόρφωση, αλλά και η εμφάνιση της εξατομίκευσης των διαφημίσεων είναι επιπλέον προκαθορισμένη. Ωστόσο, όπως προβλέπεται από το GDPR, η συγκατάθεση είναι "σαφής" μόνο με σαφή καταφατική ενέργεια από τον χρήστη (με την τοποθέτηση ενός κουτιού που δεν έχει προθερμανθεί για παράδειγμα). Τέλος, πριν από τη δημιουργία ενός λογαριασμού, ο χρήστης καλείται να σημειώσει τα πλαίσια "Συμφωνώ με τους Όρους Παροχής Υπηρεσιών της Google" και "Συμφωνώ με την επεξεργασία των πληροφοριών μου όπως περιγράφεται παραπάνω και εξηγείται περαιτέρω στην Πολιτική Προστασίας Προσωπικών Δεδομένων", προκειμένου να δημιουργηθεί λογαριασμός. Ως εκ τούτου, ο χρήστης δίνει τη συγκατάθεσή του πλήρως, για όλους τους σκοπούς επεξεργασίας που πραγματοποιούνται από το GOOGLE βάσει αυτής της συγκατάθεσης (εξατομίκευση διαφημίσεων, αναγνώριση ομιλίας κλπ.). Ωστόσο, το GDPR προβλέπει ότι η συγκατάθεση είναι «ειδική» μόνο εάν δίνεται ξεχωριστά για κάθε σκοπό.
Το πρόστιμο που επιβλήθηκε από την περιορισμένη επιτροπή και τη δημοσιότητα της.
Η επιτροπή περιορισμένης ευθύνης της CNIL επιβάλλει δημόσια χρηματική ποινή 50 εκατομμυρίων ευρώ έναντι της GOOGLE.
Αυτή είναι η πρώτη φορά που το CNIL εφαρμόζει τα νέα όρια κυρώσεων που προβλέπονται από το GDPR. Το ποσό που αποφασίστηκε και η δημοσιότητα του προστίμου δικαιολογούνται από τη σοβαρότητα των παραβάσεων που διαπιστώθηκαν όσον αφορά τις βασικές αρχές του GDPR: διαφάνεια, πληροφόρηση και συναίνεση.
Παρά τα μέτρα που εφαρμόζει το GOOGLE (έγγραφα τεκμηρίωσης και εργαλεία διαμόρφωσης), οι παραβάσεις που παρατηρούνται στερούνται από τους χρήστες ουσιαστικές εγγυήσεις σχετικά με τις εργασίες επεξεργασίας που μπορούν να αποκαλύψουν σημαντικά τμήματα της ιδιωτικής ζωής τους, δεδομένου ότι βασίζονται σε τεράστιο όγκο δεδομένων και σχεδόν απεριόριστους συνδυασμούς. Η επιτροπή περιορισμένης πρόσβασης υπενθυμίζει ότι η έκταση των εν λόγω πράξεων επεξεργασίας επιβάλλει στους χρήστες τη δυνατότητα να ελέγχουν τα δεδομένα τους και, ως εκ τούτου, να τις ενημερώνουν επαρκώς και να τους επιτρέπουν να εγκρίνουν εγκύρως.
Επιπλέον, οι παραβιάσεις αποτελούν συνεχείς παραβιάσεις του κανονισμού, όπως εξακολουθούν να παρατηρούνται μέχρι σήμερα. Δεν πρόκειται για μια εφάπαξ, χρονικά περιορισμένη παράβαση.
Τέλος, λαμβάνοντας υπόψη τη σημαντική θέση που έχει το λειτουργικό σύστημα Android στη γαλλική αγορά, χιλιάδες Γάλλοι δημιουργούν καθημερινά έναν λογαριασμό GOOGLE όταν χρησιμοποιούν το smartphone τους. Επιπλέον, η επιτροπή περιορισμένης ευθύνης επισημαίνει ότι το οικονομικό μοντέλο της εταιρείας βασίζεται εν μέρει στην εξατομίκευση των διαφημίσεων. Ως εκ τούτου, είναι απόλυτη ευθύνη να συμμορφωθεί με τις σχετικές υποχρεώσεις.
*Μετάφραση στα ελληνικά από το επίσημο ανακοινωθέν κείμενο στην Αγγλική με την χρήση Google Translate (22/1/2019).
