Francija: Google dobil 50 milijonov evrov kazni zaradi GDPR

Francoski regulator za varstvo osebnih podatkov (CNIL oz. Commission nationale de l'informatique et des libertés) je Googlu izrekel kazen v višini 50 milijonov evrov, potem, ko po njihovem mnenju podjetje ni spoštovalo določb splošne uredbe o varstvu osebnih podatkov (GDPR).

Kot zatrjujejo pri CNIL, je Google uporabnikom premalo transparentno predstavil podrobnosti o njihovi politiki upravljanja z osebnimi podatki. Ključne informacije, denimo nameni procesiranja podatkov, dolžina njihovega hranjenja in uporaba za personalizacijo oglasov, so raztreseni po večih dokumentih, dostop do relevantnih informacij pa je mogoč šele po 5-6 klikih. Dalje, podjetje uporabnikom ni ponudilo zadostnih vzvodov, s katerimi bi nadzorovali, kaj se z njihovimi podatki dejansko dogaja. CNIL še trdi, da Google ni imel ustreznega pravnega temelja za procesiranje uporabniških podatkov za personalizacijo oglasov. Po njihovem mnenju zbrana soglasja niso veljavna iz dveh razlogov: uporabniki so premalo seznanjeni ozadjem teh procesov, soglasja pa niso niti specifična, niti nedvoumna, kot to terja uredba. Ob odprtju novega računa se mora namreč uporabnik strinjati s pogoji storitve in procesiranjem njegovih osebnih podatkov, pri čemer se na tej točki lahko strinja zgolj z vsemi pogoji in ne z vsakim posamič. Določbe GDPR pa terjajo, da mora biti soglasje dano ločeno za vsak namen posebej, obenem pa ga mora biti na preprost način moč tudi preklicati.

Google se bo o domnevnih nepravilnostih lahko še izrekel v nadaljnjem postopku, si je pa v EU doslej že nakopal še en primer tožbe povezane z GDPR, v tem primeru ga potrošniške organizacije obtožujejo nepravilnosti pri spremljanju lokacije uporabnikov.

Uredba sicer omogoča izrek visokih kazni, tudi do višine 4 % letnega prometa podjetja, zato se izrečenih 50 milijonov zdi veliko samo na prvi pogled. Kljub temu pa je to od začetka veljavnosti GDPR maja lani doslej najvišja izrečena globa (postopek, kot rečeno, še traja) izrečena na podlagi uredbe.

Lanskega decembra je odmeval primer Portugalske bolnišnice, ki je skupila kazen 400.000 €, potem, ko so njihovi nezdravstveni delavci prek lažnih zdravniških računov prebirali kartoteke bolnikov. Nemška stran za zmenke pa jo je odnesla z milostnih 20.000 €, potem, ko so gesla uporabnikov hranili kar v tekstovni obliki.