Koniec okresu przejściowego – nadchodzi era kar za naruszenia RODO
Do tej pory, pomimo licznych ostrzeżeń przed wejściem w życie RODO, organy administracyjne nie nakładały wysokich kar za naruszenia przepisów dotyczących przetwarzania danych osobowych. Sytuacja zdaje się jednak zmieniać, przynajmniej we Francji. 21 stycznia 2019 r. CNIL (Commission Nationale de l'Informatique et des Libertés, francuski organ administracji publicznej odpowiedzialny za regulacje dotyczące przetwarzania danych osobowych) nałożył na Google LLC karę w wysokości 50 milionów euro. Organ wskazał, że Google przetwarzał dane osobowe nietransparentnie, dostarczając podmiotom, których dane dotyczą, nieadekwatnych informacji co do przetwarzania, oraz personalizował reklamy bez posiadania zgody osób, którym takie reklamy są wyświetlane.
O ile odszkodowania za naruszenia RODO (o których pisaliśmy ostatnio na blogu) potencjalnie mogą mieć duże znaczenie dla podmiotów przetwarzających dane, o tyle największe emocje budzą właśnie kary administracyjne w wysokości do 10 000 000 EUR lub do 2% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego.
Działania CNIL
Badanie sposobu działania Google było poprzedzone złożeniem do CNIL dwóch skarg przez podmioty o nazwach None of Your Business i La Quadrature du Net. Podnosiły one, że Google przetwarza dane osobowe bez podstawy prawnej, szczególnie w przypadku personalizowanych reklam. CNIL przeprowadził w przedmiotowej sprawie inspekcję online działań Google. Przede wszystkim przeanalizował dokumenty, jakie użytkownik Google otrzymuje w chwili tworzenia swojego konta z użyciem sprzętu z systemem Android.
Naruszenia Google
CNIL zidentyfikował dwa główne naruszenia przepisów dotyczących danych osobowych: naruszenie obowiązków dotyczących transparentności i udzielenia informacji oraz przetwarzanie danych na potrzeby personalizacji reklam bez podstawy prawnej.
-
Naruszenie obowiązków dotyczących transparentności i udzielania informacji
CNIL podkreślił, że w procesie tworzenia konta Google nie są łatwo dostępne tak podstawowe informacje jak cele przetwarzania danych, czas ich przechowywania czy kategorie danych osobowych używanych do personalizacji reklam. Informacje te są rozproszone w kilku dokumentach, a żeby dotrzeć do niektórych z nich, trzeba używać linków i przycisków zawartych w innych dokumentach. W praktyce, aby dotrzeć do tych informacji, trzeba wykonać nawet pięć lub sześć czynności.
Dodatkowo nie wszystkie informacje są jasne i wyczerpujące. W efekcie użytkownicy nie mają szans zrozumieć całości operacji dokonywanych na danych przez Google. Poza tym operacje przetwarzania są szczególnie inwazyjne dla użytkowników z uwagi na ilość oferowanych usług oraz liczbę i naturę przetwarzanych informacji. Cele przetwarzania i kategorie danych są opisane ogólnie i niejasno, szczególnie jeżeli chodzi o podstawę przetwarzania danych na potrzeby personalizowania reklam, którą jest zgoda użytkownika, co nie wynika w sposób oczywisty z dokumentacji Google.
-
Przetwarzanie danych na potrzeby personalizacji reklam bez podstawy prawnej
CNIL uznał, że zgoda na przetwarzanie danych osobowych na potrzeby personalizacji nie została odebrana w sposób zgodny z RODO.
Po pierwsze, użytkownicy nie zostali dostatecznie poinformowani o procesach, których dotyczy ich zgoda, między innymi z uwagi na rozproszenie kluczowych informacji w wielu dokumentach.
Po drugie, zgoda użytkowników nie była wystarczająco konkretna i jednoznaczna. CNIL doszedł do takiego wniosku, mimo że przy tworzeniu konta użytkownik może kliknąć w przycisk „więcej opcji” i zmodyfikować pewne sposoby działania jego konta. W ocenie CNIL stanowi to utrudnienie dla użytkowników, a na dodatek zgody dotyczące personalizacji reklam są domyślnie zaznaczone. Poza tym użytkownik, tworząc konto, i tak musi zaznaczyć generalne zgody na przetwarzanie danych zgodnie z polityką prywatności, co wyklucza spełnienie przez Google wymogu, że zgoda musi być wyrażona osobno dla każdego celu przetwarzania.
Kara nałożona przez CNIL
Wysokość nałożonej kary CNIL uzasadnił powagą naruszeń w stosunku do podstawowych zasad RODO w zakresie transparentności, informowania oraz zgody. Nie bez znaczenia była także ilość danych zbieranych przez Google, duża różnorodność świadczonych usług oraz trudne do prześledzenia sposoby wykorzystania danych zbieranych w ramach świadczenia tych usług. Dodatkowo naruszenia trwały przez długi czas (przynajmniej do momentu nałożenia kary) i nie miały jednorazowego charakteru.
Czy będą kolejne kary?
Bez wątpienia pierwszy okres przejściowy, tzn. od czasu wejścia w życie RODO do końca 2018 r., jest już za nami. Krajowe organy do tej pory nie nakładały licznych wielomilionowych kar, ale przypuszcza się, że istotnie się to zmieni w 2019 roku. Omawiana decyzja CNIL wskazuje elementy, które najprawdopodobniej będą brane pod uwagę przez inne organy państw członkowskich.
Katarzyna Szczudlik