Чем грозит несоблюдение европейского регламента по защите данных GDPR — разбираемся на примере Google
21 января 2019 года Национальная комиссия по информатике и гражданским правам Франции (CNIL) вынесла решение оштрафовать американскую компанию GOOGLE LLC на 50 миллионов евро за нарушение основных требований европейского регламента по защите данных (General Data Protection Regulation, GDPR). Сумма штрафа беспрецедентна. Это наглядно показывает, чем грозит несоответствие требованиям GDPR. Что же Google сделала не так в отношении обработки персональных данных (ПД), и на что стоит обратить внимание при приведении обработки ПД в соответствие с требованиями GDPR?
Что нарушила Google
Французская комиссия определила, что при начальной конфигурации мобильного устройства на операционной системе Android (Google) пользователь не получает полной информации о том, что Google делает с его ПД.
Как развивались события
25 мая 2018 года, в день вступления GDPR в силу, в Национальную комиссию по информатике и гражданским правам Франции поступили первые жалобы со стороны пользователей ОС Android, которые и легли в основу разбирательства. Коллективная жалоба была направлена от некоммерческой организации None Of Your Business, предметом деятельности которой является представление прав и интересов пользователей в области цифровых технологий. Пользователи мобильных устройств на Android пожаловались на то, что были обязаны принять политику конфиденциальности и общие условия пользования сервисами Google, в противном случае они не смогли бы использовать свое мобильное устройство.
28 мая 2018 года поступила коллективная жалоба от французской ассоциации защиты основных прав и свобод в цифровом пространстве La Quadrature du Net с претензией на то, что Google независимо от типа мобильного устройства пользователя не имеет надлежащих правовых оснований для обработки ПД с целью проведения поведенческого анализа и демонстрации целевой рекламы.
Стоит отметить, что обе ассоциации действовали в рамках статьи 80 GDPR, которая гласит, что субъект данных вправе передать некоммерческому органу, организации или объединению, которые были основаны в соответствии с законодательством государства-члена ЕС (в данном случае Франции) право подавать жалобу от его имени. В результате указанные жалобы подписали около 10 тысяч человек.
21 сентября 2018 года комиссия проверила соответствие обработки ПД при использовании ОС Android (включая создание учётной записи) требованиям GDPR.
24 и 25 сентября 2018 года протокол проверки был передан GOOGLE LLC и в местное представительство, Google France SARL.
28 сентября 2018 года Национальная комиссия по информатике и гражданским правам Франции уведомила GOOGLE LLC и Google France SARL о поступивших жалобах.
Заметим, комиссия сначала провела проверку и только после этого оповестила GOOGLE LLC и Google France SARL о её причине – коллективных жалобах граждан.
22 октября 2018 года докладчик от комиссии представил компаниям GOOGLE LLC и Google France SARL подробный доклад о результатах расследования и выявленных нарушениях.
15 января 2019 года состоялось заседание комиссии в ограниченном составе.
Чем оправдалась Google
Компания пыталась доказать, что сама по себе процедура расследования, проведённая Национальной комиссией по информатике и гражданским правам, нелегитимна по следующим причинам:
- Комиссия не обладает достаточной компетентностью для ведения данного дела ввиду того, что французское представительство компании, Google France SARL, на которое были поданы жалобы, не должно рассматриваться в качестве центрального учреждения компании на территории ЕС, ответственного за обработку персональных данных компанией GOOGLE LLC (приём, известный под термином «корпоративная вуаль» — ред.);
- не установлено, правомерно ли приняты к рассмотрению жалобы, поданные ассоциациями None Of Your Business и La Quadrature du Net;
- документы были направлены в Google только на французском языке.
На два последних пункта комиссия ответила лаконично. Так, предметом деятельности ассоциации La Quadrature du Net, в частности, является принятие мер для обеспечения защиты основных прав и свобод в цифровом пространстве, а None Of Your Business занимается предоставлением прав и интересов пользователей в области цифровых технологий. Следовательно, обе ассоциации получили от обратившихся к ним лиц представительские полномочия в соответствии со статьей 80 GDPR. Кроме того, ни одно законодательное или национальное положение не обязывает комиссию переводить направляемые ею документы с французского на какой-либо другой язык.
На первом пункте стоит остановиться подробнее, поскольку он будет особенно интересен компаниям, у которых имеется несколько филиалов или дочерних структур на территории ЕС.
Google утверждает, что комиссия должна была передать жалобы государственному органу защиты данных в Ирландии (эта страна более 20 лет назад установила режим наибольшего благоприятствования, прежде всего льготное налогообложение, для транснациональных IT-компаний, и добилось того, что в стране сконцентрировался европейский бизнес Microsoft, Intel, позднее Google, Facebook и др.; попытка выиграть дело против Google в ирландском суде у французов, скорее всего, провалилась бы – ред.), так как именно Google Ireland Limited является центральным учреждением на территории ЕС для некоторых трансграничных операций обработки данных компании. Google привела следующие аргументы:
- Google Ireland Limited является местонахождением компании Google в ЕС с 2003 года;
- Google Ireland Limited исполняет многочисленные организационные функции, необходимые для деятельности компании на территории Европы, Ближнего Востока и Африки, например, здесь находится генеральный секретариат, решаются налоговые вопросы, формируется бухгалтерская отчётность, проводится внутренний аудит и т.д.;
- одна из претензий к компании содержит в себе пункт о целевой рекламе, в то время как заключение всех договоров продажи рекламы Google с клиентами из ЕС входит в функции Google Ireland Limited;
- Google Ireland Limited насчитывает более 3600 сотрудников и имеет специальное подразделение, в задачи которого входит работа с обращениями клиентов из ЕС по вопросам конфиденциальности;
- в ирландском офисе Google есть сотрудник, который отвечает за вопросы защиты частной жизни;
- в настоящее время в Google идёт реорганизация, касающаяся как оперативных, так и организационных вопросов, направленная на то, чтобы наделить компанию Google Ireland Limited ответственностью за вопросы обработки персональных данных граждан ЕС.
Ответ комиссии был однозначным и не позволил оспорить процедуру расследования:
- предоставленные сведения сами по себе не свидетельствуют о том, что компания Google Ireland Limited на дату открытия процедуры преследования обладала какими-либо полномочиями принятия решений о целях и способах обработки персональных данных, защищаемых политикой конфиденциальности;
- компания Google Ireland Limited не указана в правилах конфиденциальности компании как субъект, где принимаются решения о целях и способах обработки персональных данных, защищаемых политикой конфиденциальности;
- Google Ireland Limited не назначила сотрудника, отвечающего за защиту данных, в задачу которого входила бы работа по обработке персональных данных, получаемых ею от клиентов из ЕС;
- компания указала письмом от 3 декабря 2018 года, отправленным комиссией по защите данных Ирландии (The Data Protection Commission), что передача ответственности Google LLC. компании Google Ireland Limited по некоторым операциям обработки персональных данных граждан ЕС будет завершена только 31 января 2019 года.
Таким образом, комиссия не нашла нарушений в процедуре подачи жалоб на несоответствие требованиям GDPR по обработке персональных данных.
Какие именно требования GDPR не соблюдала Google
1. Компания не выполнила обязательства по обеспечению прозрачности обработки персональных данных и информирования субъектов (статьи 12 и 13 GDPR).
Согласно статье 12 GDPR информация об обработке данных должна предоставляться пользователю в легкодоступной форме. В случае Google информация размещалась частями во множестве документов, например, «Правила конфиденциальности и условия использования», которые открываются перед пользователем при создании учетной записи, затем «Правила конфиденциальности», которые появляются на втором этапе создания аккаунта через активные ссылки в первом документе. Эти документы содержат кнопки и ссылки, лишь перейдя по которым можно ознакомиться с дополнительной информацией о сроках и целях обработки пользовательских данных.
Чтобы получить информацию о том, какие данные будет собирать о пользователе Google, как они будут использоваться, необходимо внимательно ознакомиться с большим количеством документов. При этом единого ответа на эти вопросы нет: перечень собираемых сведений зависит от выбранных пользователем параметров настройки. Например, для получения доступа к информации по персонализации рекламных сообщений от пользователя требуется совершить более пяти действий.
Кроме того, пользователь не может получить информацию о последствиях, которые будет иметь обработка переданных в компанию Google персональных данных. Цели обработки, указанные в различных документах, являются общими, например, в одной из политик Google указано: «Собираемые нами сведения нужны для улучшения сервисов, предлагаемых всем пользователям. Собираемые нами сведения и то, как мы их используем, зависят от того, как вы используете наши сервисы и как вы управляете своими параметрами конфиденциальности».
Сроки хранения пользовательских данных регламентируются неточно. Например, в разделе «Каким образом сохраняются данные, собираемые Google» указаны четыре категории данных, одна из которых определена как «сведения, которые хранятся на протяжении длительного периода по конкретным причинам». При этом конкретные разъяснения цели хранения отсутствуют: не указан ни сам срок хранения, ни критерии, используемые для его определения, хотя эта информация должна предоставляться пользователям согласно п. (а) параграфа 2 статьи 13 GDPR.
2. У компании отсутствовала необходимая юридическая основа для проводимой обработки данных (статья 6 GDPR).
Google обвиняется в том, что она ненадлежащим образом получила согласие пользователей на обработку их данных для персонализации рекламы.
В момент создания учетной записи пользовать должен отметить поля «Принимаю условия использования Google» и «Согласен, чтобы моя информация использовалась, как описано выше и подробно указано в Правилах конфиденциальности», при этом выбор и редактирование сведений, зарегистрированных в учётной записи, является необязательным условием регистрации – эти сведения находятся в пункте «Больше опций». Пользователь может создать свою учётную запись и согласиться на связанную с этим обработку данных, в частности, обработку данных для персонализации рекламы, без нажатия кнопки «Больше опций».
Значит, согласие пользователя в таком случае получено ненадлежащим образом, т.к. оно не было получено путём утвердительного действия, которым пользователь дает определённое и отдельное согласие на обработку его данных в целях персонализации рекламы по отношению к другим целям обработки данных.
Итог: почему французы выписали Google беспрецедентный штраф
1. Тяжесть нарушения. Фактически статья 6, определяющая случаи законной обработки данных, является центральным положением GDPR о защите ПД. Требования к прозрачности информации и информированию пользователей также имеют чрезвычайно важное значение, так как обусловливают реализацию прав пользователей и, следовательно, позволяют субъекту ПД сохранять контроль над своими данными. Игнорирование статей 6, 12 и 13 карается самыми строгими санкциями в контексте пункта 5 статьи 83 GDPR.
2. Причины не устранены. Установленные нарушения со стороны Google до сих пор имеют место быть, таким образом, нарушение GDPR продолжается.
3. Масштабы проблемы. В силу доминирующего положения операционной системы Android на французском рынке и в силу высокой доли пользователей Android-смартфонов среди владельцев мобильных телефонов во Франции, Google проводит операции c ПД в колоссальном объеме (миллионы пользователей).
Практические выводы
После вступления GPPR в силу в зоне риска оказались в первую очередь крупные корпорации, которые обрабатывают значительные количество пользовательских данных. Несмотря на все усилия, которые были предприняты многими компаниями до даты вступления GDPR в силу, даже самые крупные игроки рынка оказались не готовы к выполнению всех нюансов нового регламента, дело Google пример тому.
Это не означает, что компании с меньшим объёмом обрабатываемых ПД могут не беспокоиться. Португальскую больницу Barreiro Hospital обвинили в неправильном управлении доступом к критичным персональным данным (штраф 300 тысяч евро) и нарушении обеспечения безопасности и целостности данных (еще 100 тысяч евро). А кафе в Австрии оштрафовали на 5280 евро за незаконное видеонаблюдение.
Любая организация, на которую распространяется действие GDPR, не должна ограничиваться, по отечественной традиции, лишь разработкой нормативной документации.
Об авторе: Ирина Казакова, консультант по информационной безопасности ГК InfoWatch, эксперт ассоциации BISA.