21 января 2019 г. Национальная комиссия по делам информационных технологий и правам человека (CNIL) Франции оштрафовала компанию Google LLC на 50 млн евро за нарушение требований GDPR. Это крупнейший на сегодняшний момент штраф, вынесенный по GDPR с момента его вступления в силу 25 мая 2018 г.
Во французский регуляторный орган поступили жалобы от организаций “None Of Your Business” и “La Quadrature du Net”, которые утверждали, что у Google нет правовых оснований для обработки персональных данных своих пользователей, в частности, в целях персонализации рекламы.
Изучив процесс регистрации пользователей при создании аккаунта в Google с помощью мобильных устройств на платформе Android, получение доступа к документам для дачи информированного согласия на обработку персональных данных, CNIL пришёл к следующим выводам:
- Не соблюдался принцип прозрачности обработки персональных данных; а также отсутствовала понятная и доступная форма согласия на обработку персональных данных.
- Согласие не было информированным, конкретным и однозначным.
Информация о целях обработки персональных данных, сроке их хранения и категориях обрабатываемых персональных данных была расположена в разных документах и соединена перекрёстными ссылками, т.е. пользователю для получения необходимой информации о персонализации рекламы или об отслеживании его местоположения нужно было в среднем совершать 5-6 действий и постоянно переходить от одного документа к другому.
Более того, во многих документах цели обработки и категории обрабатываемых персональных данных были обозначены общими, размытыми формулировками, а срок хранения не был указан вообще.
Давая согласие на обработку персональных данных в сервисе персонализированной рекламы, пользователь не понимал, какое количество сервисов, веб-сайтов и приложений на самом деле будут обрабатывать его персональные данные (Google search, YouTube, Google home, Google maps, Playstore, Google pictures и др.).
Более того, редактирование настроек рекламы возможно только после регистрации пользователя, путём снятия уже проставленных самим сервисом галочек согласия. Изначально же пользователь может дать только общее и полное согласие на обработку всех его персональных данных всеми сервисами, что нарушает основные положения GDPR.
Учитывая положение Google на рынке и внушительные доходы компании от персонализированной рекламы, серьёзность и продолжительность правонарушений, CNIL вынес штраф в размере 50 млн евро.
Таким образом, основной причиной наложения столь крупного штрафа послужило несоблюдение требований GDPR, касающихся формы согласия на обработку персональных данных и способа его получения.
Если деятельность российских компаний связана с обработкой персональных данных европейских пользователей, то они также подпадают под действие GDPR, и им следует принимать во внимание суровый подход к применению требований GDPR и учитывать выводы, сделанные французским регулятором в этом деле.