Didžiausios baudos už BDAR pažeidimus gavėja tampa Google: kompanijai skirta 50 mln. eurų bauda

Prancūzijos duomenų apsaugos intitucija (CNIL) kompanijai „Google” skyrė 50 mln. eurų baudą už kelis pažeidimus: skaidrumo ir informavimo įsipareigojimų pažeidimą bei reikalavimų turėti teisėtą pagrindą reklamos personalizavimui nevykdymą. Tyrimo metu CNIL analizavo „Google” kliento naršymo kelią ir dokumentus, prieinamus asmeniui kuriant „Google” paskyrą savo „Android“ mobiliojo telefono konfiguracijos metu.

CNIL gavo skundus iš dviejų asociacijų – None Of Your Business („NOYB”) ir La Quadrature du Net („LQDN”). Abiejuose skunduose pabrėžtas „Google” piktnaudžiavimas, esą ji neturi tinkamo teisinio pagrindo tvarkyti savo paslaugų naudotojų asmeninius duomenis.

Tyrimo eigoje paaiškėjo, kad:

1. 1. 1. Duomenų tvarkymo tikslai, saugojimo laikotarpiai ar reklamos personalizavimui naudojamos asmens duomenų kategorijos bei kita esminė informacija yra pernelyg išmėtyta per kelis dokumentus ir sunkiai atsekama, būtina spustelti mygtukus bei nuorodas, kad gautum papildomą informaciją. Naudotojui norint sužinoti, kaip reklamos personalizavimui tvarkomi jo duomenys, reikia daugiau nei 5 žingsnių. Naudotojui taip pat dažnai sunku suprasti, kaip tiksliai naudojami jo asmens duomenys, nes „Google“ formuluotės tikslingai surašytos neaiškia ir nekonkrečia kalba.
      2. „Android” nustatymai sukurti taip, kad telefono konfiguracijos metu „Google“ realiai verčia naudotoją prisijungti arba prisiregistruoti prie „Google“ paskyros. Bendrovė informuoja, kad kliento patirtis bus blogesnė, jei jis neturės „Google“ paskyros. Pasak CNIL, „Google“ turėtų atskirti paskyros sukūrimo veiksmą nuo įrenginio konfiguracijos veiksmo.
      3.  „Google” siūlant savo pasirinkimus, nėra paaiškinama jų reikšmė. Tai yra, kai „Google“ klausia vartotojo, ar šis nori individualizuotos reklamos, naudotojui nepaaiškinama, kad kalba eina ne apie „Android“ telefoną, bet apie aibę skirtingų paslaugų, apimančių „Google“ žemėlapius, „YouTube“ ir t. t. Be to, kuriant „Google“ paskyrą neprašoma konkretaus ir nedviprasmiško sutikimo – galimybė atsisakyti personalizuotos reklamos yra paslėpta po nuoroda „Daugiau parinkčių“. Ją paspaudus, numatytasis nustatymas personalizuotą reklamą leidžia (varnelė neturi būti padėta automatiškai).

Tai pirmas kartas, kai CNIL taiko naujas GDPR nustatytas sankcijų ribas. Tokia suma ir baudos viešinimas pateisinami pažeidimų sunkumu, susijusiu su esminiais GDPR principais: skaidrumu, informavimu ir sutikimo davimu. Beje, spręsdamas dėl baudos dydžio, CNIL vertino „Android” operacijos sistemos naudotojų skaičių Prancūzijoje, pažeidimų tęstinumą, bei „Google” ekonominio modelio pagrindą, kuris iš dalies remiasi būtent reklamos personalizavimu.

Nepaisant „Google“ įdiegtų priemonių (dokumentacijos ir konfigūravimo įrankių), pastebėti pažeidimai nesuteikia vartotojams garantijų dėl jų duomenų tvarkymo operacijų, kurių metu vartotojas gali atskleisti svarbias savo asmeninio gyvenimo dalis, nes sistema yra grindžiama didžiuliu duomenų kiekiu, įvairiomis susipynusiomis paslaugomis ir beveik neribotais galimais jų deriniais.