RODO: Google ukarany 50 mln euro za naruszenie danych osobowych

    2019-01-22

    21 stycznia 2019 roku francuski organ nadzorczy (CNIL) nałożył na internetowego giganta karę 50 mln euro za szereg naruszeń związanych z RODO. To pierwsza tak wysoka kara pod rządami nowego unijnego prawa.

    25 maja 2018 roku zaczęło obowiązywać RODO – unijne ogólne rozporządzenie o ochronie danych, które pozwala organom zajmującym się ochroną danych osobowych nakładać kary w wysokości nawet 20 mln euro lub 4% ogólnoświatowego obrotu z poprzedniego roku obrotowego firmy. Już od chwili uchwalenia nowego prawa (kwiecień 2016) było jasne, że prędzej czy później wysoka kara zostanie nałożona na jednego z dużych graczy na rynku usług w internecie. Faworytem do wysokiej kary był jednak Facebook, który zamieszany był w aferę Cambridge Analytica.

    Francuski organ (CNIL) rozpatrywał skargę złożoną na GOOGLE LLC (dalej: „Google”) przez dwa stowarzyszenia walczące o prawa jednostek, przy czym skarga została złożona w imieniu ok. 10 tysięcy osób fizycznych już w maju 2018 roku. Podstawowym zarzutem był brak ważnej podstawy prawnej do przetwarzania danych osobowych na potrzeby personalizacji reklam dla poszczególnych osób, jednakże w toku postępowania organ zauważył kolejne uchybienia.

    Urządzenia z Androidem powodem nałożenia kary

    W toku czynności CNIL kontaktował się irlandzkim organem nadzorczym w celu ustalenia, który z tych organów będzie właściwy do przeprowadzenia postępowania, a następnie po ustaleniu, że właściwość pozostaje przy organie francuskim, we wrześniu 2018 roku przeprowadzone zostały inspekcje. Jednym z przedmiotów zainteresowania francuskich kontrolerów była ścieżka zakładania konta Google na urządzeniach z systemem operacyjnym Android oraz dokumenty i informacje dostępne dla nowych użytkowników. Na podstawie tak przeprowadzonych czynności kontrolerzy ustalili dwa rodzaje naruszeń.

    Naruszenie obowiązków informacyjnych

    Francuski organ podkreślił, że informacje przedstawiane przez Google nie są łatwo dostępne oraz jasne dla użytkowników. Jak wynika z komunikatu prasowego, informacje wymagane przez RODO są rozproszone w wielu różnych dokumentach i informacjach, a dodatkowo aby do nich dotrzeć należy kliknąć w odpowiedni link. Informacje, które w myśl nowego prawa powinny być łatwo dostępne można było uzyskać dopiero po 5 lub 6 kliknięciach, co jest naruszeniem obowiązku administratora danych. Dodatkowo organ zauważył, że informacje nie są przedstawione w sposób przejrzysty i zrozumiały, a w odniesieniu do niektórych rodzajów danych nie został wskazany okres przechowywania danych.

    Nieprawidłowe zgody

    W toku działań kontrolnych ujawniono, że zgody na personalizację reklam, zebrane przez Google nie są prawidłowe z dwóch względów. Po pierwsze, informacje o zakresie zgody były niewystarczające oraz rozproszone w kilku różnych dokumentach. Jako przykład wskazano, że z dokumentu wprost odnoszącego się do personalizacji reklam nie wynikała mnogość aplikacji i serwisów, które brały udział w tym procesie przetwarzania danych (m. in.: wyszukiwarka Google, YouTube, Mapy Google, Sklep Google).

    Drugim naruszeniem w zakresie zbierania zgód, okazały się niekonkretność oraz niejednoznaczność sformułowań w klauzulach. Francuscy kontrolerzy zakwestionowali klauzule zgody, które należy zaznaczyć, aby założyć konto Google, gdyż odnosiły się jedynie ogólnie do zgody na przetwarzanie danych, przy czym warunki, zakres i cele były „ukryte” w dokumentach dostępnych pod dalszymi linkami. Przepisy RODO wymagają, aby zgody były konkretne i jednoznaczne co oznacza, że użytkownik już w momencie ich wyrażania, bez klikania w dodatkowe linki, powinien wiedzieć jaki jest zakres jego zgody.

    Surowa kara

    Przy wymierzaniu kary francuski organ wziął pod uwagę trzy czynniki związane z naruszeniem, które zdecydowały o jej wysokości. Pierwszym czynnikiem jest intensywność naruszenia, rozumiana jako rażące naruszenie podstawowych obowiązków nakładanych przez przepisy RODO. Drugim czynnikiem jest fakt, że naruszenia zaobserwowane przez kontrolerów do chwili wydania decyzji występowały i nie zostały w sposób satysfakcjonujący naprawione. Wreszcie trzecim czynnikiem wziętym pod uwagę przez CNIL jest znaczący udział urządzeń z systemem Android na rynku telefonów komórkowych, co powoduje, że każdego dnia tylko we Francji zakładanych jest kilka tysięcy nowych kont Google.

    Jednocześnie organ zdecydował o upublicznieniu informacji o nałożeniu kary oraz udostępnieniu na swojej witrynie internetowej treści decyzji.

    Polski organ nadzorczy (Prezes Urzędu Ochrony Danych Osobowych) do chwili obecnej nie zdecydował się na nałożenie kary pieniężnej na naruszenie przepisów RODO. Niemniej jednak kontrole przetwarzania danych osobowych u przedsiębiorców już się rozpoczęły, a surowość kary nałożona na Google jest dobrą okazją, aby przyjrzeć się sposobowi spełniania obowiązków informacyjnych w swojej organizacji oraz ważności zgód, w szczególności zgód zbieranych na potrzeby marketingowe.

    Artykuł ukazał się w serwisie internetowym dziennika „Rzeczpospolita” w dniu 22-01-2019r.

    Kamil Kozioł

    Andersen w Polsce

    Skontaktuj się z autorem

    Artykuły z tej kategorii