Во Франции орган надзора за конфиденциальностью данных присудил первый крупный штраф в рамках нового режима конфиденциальности ЕС .
Французский орган надзора за конфиденциальностью данных CNIL оштрафовал Google на €50 миллионов (почти US$57 млн.) за то, что орган рассматривает как неспособность технологического гиганта соблюдать свои обязательства, вытекающие из регламента защиты данных Европейского союза (ЕС).
Как сказано в заявлении, комитет La Commission nationale de l’informatique et des libertés (CNIL) пришёл к заключению, что нарушение Google Общего регламента по защите данных (GDPR) имеет место в связи с«недостаточной прозрачностью, неполнотой информации и отсутствием действительного согласия относительно персонализации рекламы».
На основании онлайн-проверок того, как Google обрабатывает пользовательские данные, когда пользователи Android настраивают свои новые смартфоны, проверяющий обнаружил, что несоблюдение регламента Google-ем происходит, по сути, в двух формах:
Во-первых, технологический гигант не может предоставить пользователям прозрачную и всеобъемлющую информацию о том, как он обрабатывает пользовательские данные.
«Существенная информация, такая как цели обработки данных, сроки хранения и категории персональных данных, используемых для персонализации рекламы, распылены между несколькими документами», — сказали в комиссии, и добавили, что положенная информация доступна только после нескольких дополнительных шагов, которые в некоторых случаях могут подразумевать пять или шесть отдельных действий.
Кроме того, по мнению CNIL, «цели обработки описываются чересчур в общих чертах и расплывчато, равно как и категории данных, обрабатываемых для указанных различных целей».
Во-вторых, в CNIL заявили, что согласие Пользователя на обработку личных данных для персонализации рекламы получено незаконно. В дополнение к распылению соответствующей информации междуи нескольким документами, Google не делает поток согласия ни однозначным, ни конкретным.
В CNIL отметили, что для того, чтобы согласие было однозначным, от пользователя требуется «чёткое утвердительное действие». В то же время согласие является конкретным «только в том случае, если оно дается однозначно для каждой цели». Однако, предварительная отметка Google-ем опции для персонализации рекламы и её увязка с согласием были сочтены противоречащей принципам регламента GDPR.
В CNIL заявили, что это не «одноразовое, ограниченное по времени, нарушение», и нарушения по-прежнему наблюдаются на сегодняшний день.
Национальные власти в ЕС выписали несколько штрафов в соответствии с GDPR с тех пор, как регламент вступил в силу 25 мая 2018 года, в том числе против португальской больницы в октябре прошлого года и против немецкого чат-сайта в следующем месяце. Однако штраф, наложенный на Google, является самым большим с момента ввода в действие нового режима. Закон предусматривает штрафы до четырех процентов годового глобального оборота компании за серьезные правонарушения.
Как это начиналось
Зондирование ситуации со стороны CNIL было инициировано в ответ на две жалобы от двух групп защиты конфиденциальности, поданных против Google и нескольких других технологических гигантов 25 и 28 мая 2018 года. Google, например, был обвинен группой None Of Your Business (Noyb) и La Quadrature du Net в том, что «ответчик не имеет законной правовой основы для обработки персональных данных пользователей его услуг, особенно в целях персонализации рекламы». Жалобы на другие крупные онлайновые службы по-прежнему находятся на рассмотрении.
Несмотря на то, что европейская штаб-квартира Googleнаходится в Дублине, CNILпришел к выводу, что ирландский офис компании не имеет права окончательного решения в отношении обработки данных пользователей Android. Вот почему этот вопрос остался на рассмотрении французского органа, а не был направлен в Ирландскую комиссию по защите данных (DPC), которая является ведущим надзорным органом Googleв ЕС.
Между тем, представитель Google должен был высказаться в ответ на наложенное наказание (согласно BBC): «Люди ожидают от нас высоких стандартов прозрачности и контроля. Мы глубоко привержены оправданию этих ожиданий и выполнению требований о согласии со стороны GDPR».
Источник: Welivesecurity
Поделиться статьей