21 января 2019 года Национальная комиссия по делам информационных технологий и правам человека (CNIL) Франции оштрафовала Google на €50 млн за «отсутствие прозрачности, неудовлетворительное информирование и отсутствие действительного согласия» при обработке и использовании персональных данных пользователей для показа им персонализированной рекламы.Наложение крупного штрафа стало результатом расследования. Всё началось с того, что 25 и 28 мая 2018 года в CNIL поступили коллективные жалобы от правозащитных ассоциаций None Of Your Business (NOYB) и La Quadrature du Net (LQDN), представляющих интересы более 10 000 человек. В этих двух жалобах ассоциации обвиняли Google в отсутствии надлежащей правовой базы для обработки персональных данных пользователей, в том числе для персонализации рекламы.
1 июня 2018 года в соответствии с положениями о европейском сотрудничестве, установленными GDPR, организация CNIL направила две жалобы европейским коллегам для подтверждения, чтобы она обладает компетенцией для их рассмотрения. Дело в том, что в Евросоюзе действует механизм «одного окна». Сначала нужно определить, в какой стране находится «основное учреждение» ответчика. Соответственно, юридический орган ЕС из данной страны станет «ведущим» органом в рассмотрении этого дела. До принятия решения инициатор процесса должен координировать свои действия с другими национальными органами по защите данных.
Европейская штаб-квартира Google находится в Ирландии. Однако в данном случае на момент рассмотрения оказалось, что ирландское представительство не располагало полномочиями принимать решения о процедурах, осуществляемых в рамках операционной системы Android и услуг, предоставляемых компанией Google LLC в связи с созданием учётной записи пользователя при настройке мобильного телефона.
Поскольку система «одного окна» оказалась неприменима, французская комиссия CNIL получила полномочия принимать решения в отношении компании Google LLC. Она сделала это, применив новый европейский Регламент о защите данных (GDPR).
Согласно GDPR, сумма штрафа для компании определяется пропорционально совершённому преступлению. Типичная практика ЕС в случае повторных нарушений по одному и тому же вопросу — увеличение штрафа. Он быстро может увеличиться, так что большинство компаний, как правило, оперативно исправляют проблему. Каждое взаимодействие с агентствами по защите данных происходит по одинаковой схеме: предупреждение, штраф, увеличение штрафа. Максимальная сумма штрафа составляет €20 млн или 4% от годового оборота за предыдущий финансовый год для предприятия, в зависимости от того, что больше. Максимальный штраф введён для гарантии, что гиганты вроде Facebook и Google не проигнорируют закон, просто заплатив штраф и продолжая прежнюю практику. Например, за нарушение российского законодательства о хранении персональных данных компаниям Facebook и Twitter сейчас грозит штраф до 5000 рублей.
В целях рассмотрения жалоб в сентябре 2018 года CNIL провела онлайновую проверку. Цель состояла в том, чтобы проверить соблюдение закона GDPR путём анализа действий пользователя и документов, к которым он может получить доступ, создав учётную запись Google при настройке своего мобильного телефона под Android.
В ходе проверки был выявлено два ряда нарушения GDPR.
Первое нарушение: несоблюдение обязательств по обеспечению прозрачности и отчётности. Для пользователей оказалась труднодоступны основные сведения, которые компания была обязана до них довести согласно GDPR, в том числе:
- цели, для которых обрабатываются данные;
- срок хранения данных.
Категории данных, используемых для персонализации рекламы, оказались разбросаны по нескольким документам, в которых есть отдельные кнопки и ссылки для получения дополнительной информации. Таким образом, соответствующая информация доступна только после нескольких шагов, а иногда требует от пользователя до пяти или шести действий. Максимальным образом от людей спрятаны сведения о сборе информации для персонализации рекламы или для геолокации. Кроме того, выданная информация не всегда понятна.
В итоге пользователи не в состоянии понять масштабы слежки, установленной Google, хотя эти методы «особенно массовые и интрузивные из-за количества предлагаемых услуг (около 20), количества и характера обработанных и объединённых данных», признало французское агентство.
Google неясно формулирует для пользователей, что для сбора данных обязательно нужно явное согласие человека. Создаётся впечатление, что Google имеет полное право собирать персональные данные, а согласие пользователя не требуется.
Второе нарушение: несоблюдение требования о наличии правовой основы для обработки персонализации рекламы. Комиссия признала неудовлетворительное информирование и отсутствие действительного согласия пользователей на обработку данных для таргетирования рекламы.
Информация о процедурах «не позволяет пользователю осознать масштабы». Например, в разделе «Персонализация объявлений» не говорится о множестве услуг, сайтов, приложений, участвующих в обработке данных (поиск Google, Youtube, Google Maps, Play Store, Google Photo и так далее) и, следовательно, об объёме обрабатываемых и скомбинированных данных. Эксперимент также показал, что полученное согласие не является «конкретным» и «однозначным».
В результате сделан вывод о постоянном нарушении норм GDPR. «Это первый случай, когда CNIL применяет максимальный штраф, предусмотренный общим регламентом по защите данных», — говорится в сообщении CNIL.
