Prantsusmaa andmekaitse järelevalveasutus määras ELi uue andmekaitsekorra alusel esimese suure trahvi.
Prantsusmaa andmekaitse järelevalveasutus CNIL määras Google’ile 50 miljoni eurose (ligi 57 miljonit USA dollarit) trahvi selle eest, et tehnoloogiahiid ei täitnud asutuse arvates kohustusi, mis tulenevad Euroopa Liidu (ELi) andmekaitse eeskirjadest.
Oma avalduse kohaselt leidis Prantsusmaa infotehnoloogia ja teabevahetuse komisjon (La Commission nationale de l’informatiqueet des libertés– CNIL), et Google rikkus ELi isikuandmete kaitse üldmäärust ning see rikkumine on seotud läbipaistvuse puudumise, ebapiisava teabe ja reklaamide isikustamiseks kehtiva nõusoleku puudumisega.
Tuginedes oma „võrgupõhistele kontrollidele“ selles, kuidas Google haldab kasutajate andmeid siis, kui Androidi kasutajad oma nutitelefone konfigureerivad, leidis asutus, et Google ei täida isikuandmete kaitse üldmäärust kahel allpool esitatud moel.
Esiteks leidis CNIL, et tehnoloogiahiid ei suuda kasutajatele pakkuda läbipaistvat ja kõikehõlmavat teavet selle kohta, kuidas ettevõte nende andmeid haldab.
„Olulist teavet (näiteks andmetöötluse eesmärke, andmete hoidmise perioode või reklaamide isikustamiseks kasutatavate isikuandmete kategooriaid) hajutatakse mitmete dokumentide vahel liigselt,” ütles CNIL ning lisas, et selline teave on saadaval alles pärast mitut lisasammu, mis mõnel juhul võivad tähendada viit või kuut erinevat tegevust.
Lisaks leidis asutus, et „töötlemise eesmärke ja nende mitmete eesmärkide jaoks töödeldavate andmete kategooriaid kirjeldatakse liiga üldiselt ja ebamääraselt”.
Teiseks ütles CNIL, et nõuetekohaselt ei ole saadud kasutajate nõusolekut nende andmete töötlemiseks reklaamide isikustamise eesmärgil. Lisaks asjakohase teabe hajutamisele mitmete dokumentide vahel ei tee Google asutuse arvates nõusolekuvoogu üheselt mõistetavaks ega konkreetseks.
Selleks, et nõusolek oleks üheselt mõistetav, on vaja „selget nõusolekut andvat tegevust kasutajalt”. Samal ajal on nõusolek konkreetne „ainult siis, kui see antakse iga eesmärgi jaoks eraldi”. Samas leiti, et Google rikkus isikuandmete kaitse üldmäärust reklaamide isikustamise valiku eelneva märgistamisega ja nõusoleku andmise ühendamisega ühe tegevuse alla.
CNIL sõnul ei ole see isikuandmete kaitse üldmääruse „ühekordne ja piiratud kestusega rikkumine”, sest rikkumisi täheldatakse siiani.
ELi liikmesriikide ametiasutused on alates isikuandmete kaitse üldmääruse jõustumisest 25. mail 2018 määranud mitmeid trahve, sealhulgas Portugali haiglale eelmise aasta oktoobris ja Saksamaa vestlussaidile sellele järgnevas kuus. Google’ile määratud trahv on uue korra alusel määratud trahvidest siiski suurim. Seadus näeb tõsiste rikkumiste korral ette trahve, mille suurus moodustab kuni neli protsenti ettevõtte ülemaailmsest aastakäibest.
Kuidas kõik algas
CNILi uurimist alustati kahe privaatsuse huvirühma kahe kaebuse tulemusena, mis esitati Google’i ja mitme muu tehnoloogiahiiu vastu vastavalt 25. mail ja 28. mail 2018. Organisatsioon None Of Your Business (Noyb) ja huvirühm La Quadrature du Netsüüdistasid Google’it selles, et „neil ei ole kehtivat õiguslikku alust oma teenuste kasutajate isikuandmete töötlemiseks, eriti reklaamide isikustamise eesmärgil”. Teiste suuremate võrguteenuste pakkujate vastu esitatud kaebusi alles menetletakse.
Kuigi Google’i Euroopa peakorter asub Dublinis, jõudis CNIL järeldusele, et ettevõtte Iirimaa kontoril pole Androidi kasutajate andmetöötluse osas viimast otsustusõigust. Seepärast jäi küsimus Prantsusmaa asutuse kätte, mitte ei antud üle Iirimaa andmekaitsekomisjonile (DPC), mis on Google’i juhtiv järelevalveasutus ELis.
Google’i pressiesindaja ütles karistust kommenteerides järgmist (allikas: BBC): „Inimesed ootavad meilt läbipaistvuse ja kontrolli kõrgeid standardeid. Oleme pühendunud inimeste ootuste ja isikuandmete kaitse üldmääruse nõusolekunõuete täitmisele.“
Allikas: Welivesecurity
Jaga artiklit