Французская Национальная комиссия по защите данных (CNIL) наложила на Google штраф в размере 50 миллионов евро в соответствии с новым европейским регламентом по защите данных (GDPR) – за непрозрачность, недостаточное информирование пользователей и отсутствие адекватной формы подтверждения согласия пользователей на персонализацию рекламы, сообщает регулятор.
Это первый штраф, назначенный комиссией за нарушение требований GDPR, говорится в сообщении.
25 и 28 мая 2018 года CNIL получила групповые жалобы от двух ассоциаций – None Of Your Business (NOYB) и La Quadrature du Net (LQDN), которая уполномочена предъявить претензии Google от десяти тысяч человек. Обе ассоциации обвинили Google в отсутствии законных оснований для использования персональных данных пользователей в сервисах компании, особенно – для персонализации рекламы.
CNIL начала проверять соблюдение Google требований французского закона о защите данных и GDPR; комиссия анализировала поведение пользователей и документы, с которыми они могли ознакомиться в процессе создания Google-аккаунта во время конфигурации мобильного устройства на платформе Android. В результате найдено два нарушения GDPR.
1. Несоблюдение обязанности по прозрачности и предоставлению полной информации.
Комиссия обнаружила, что информация, предоставляемая Google, трудна для восприятия пользователями. Существенная информация вроде целей обработки данных, сроков хранения данных или категорий ПД, используемых для персонализации рекламы, рассеяна по различным документам; чтобы получить доступ к дополнительным сведениям, приходится совершать онлайн дополнительные действия – нажимать экранные кнопки, переходить по ссылкам. На релевантную информацию пользователи могут выйти лишь после нескольких шагов (иногда – пяти-шести).
Также CNIL посчитала, что информация сама по себе не всегда проста для понимания. Пользователи не в состоянии полностью понять масштабы обработки данных, осуществляемой Google. А операции эти многообразны, и напоминания о них назойливо повторяются – из-за большого количества предлагаемых сервисов (около 20) и их комбинаций. По мнению комиссии, цели обработки ПД описаны слишком общо и неопределённо, как и категории ПД, подпадающие под обработку для этих целей. Аналогично, не ясна для пользователей предоставляемая компанией информация о правовых основаниях для обработки данных. Дополнительно комиссия обнаружила, что для ряда данных не указаны сроки хранения.
2. Нарушение обязанности иметь законные основания для персонализации рекламы.
Google заявляет, что получает согласие пользователей на обработку их ПД для персонализации рекламы. Однако CNIL полагает, что согласие получается неправомерно; по двум причинам:
а) нет достаточного информирования пользователя (информация опять-таки разбросана по многим документам, что не даёт пользователю возможности осознать масштабы обработки ПД; соглашаясь на такую обработку, человек не знает, для какого количества сервисов и их комбинаций запрашиваются его данные – и в каких объёмах);
б) полученное согласие не является ни «конкретным», ни «недвусмысленным», как того требует GDPR (настройки персонализированной рекламы предустановлены – и пользователь может их изменить, лишь нажав на кнопку «больше опций»; для создания аккаунта пользователя просят поставить галочки возле фраз «Я согласен с условиями предоставления услуг Google» и «Я даю согласие на обработку моих данных, условия которой указаны выше и будут подробно объяснены далее в разделе «Политика конфиденциальности» — таким образом, человек превентивно дает согласие на обработку своих ПД в любых целях, не обладая информацией о последних).
