Первым крупным штрафом, присуждённым в рамках нового Общего регламента защиты персональных данных (GDPR), стали 50 млн евро, которые компанию Google обязало выплатить французское управление по защите данных, CNIL.
До сих пор главным пострадавшим от принятых Европейским Союзом новых правил прозрачности при обработке персональной информации был португальский госпиталь: его оштрафовали на 400 тыс. евро.
Обвинительный вердикт для Google стал результатом расследования, отправной точкой для которого послужили иски правозащитных организаций None Of Your Business (NOYB) и La Quadrature du Net. Они был поданы в конце мая 2018 г., немедленно после того, как GDPR вступил в силу в ЕС.
Претензии активистов главным образом сводились к «принудительному согласию» – Google обвинялась в отсутствии подлинной правовой базы для обработки персональных данных, так как компания заставляла людей принять условия пользовательского соглашения, которых они не понимали.
Ответчиком в расследовании CNIL названа Google в США, поскольку европейское представительство компании со штаб-квартирой в Ирландии не имеет полномочий принимать решения о политике обработки пользовательских данных.
Французские регуляторы тщательно изучили сведения, предоставляемые пользователям при создании учётной записи Google на новом Android-телефоне. Вся информация, регламентируемая GDPR, там имеется, указаны цели обработки и категории данных, сроки их хранения. Тем не менее, как заявляет CNIL, нужная информация чрезмерно разбросана по нескольким документам, с кнопками и ссылками, по которым необходимо щелкнуть, чтобы получить доступ к уточняющим сведениям.
«Добраться до нужной информации можно только за несколько шагов, иногда для этого нужно до пяти или шести действий, – утверждает CNIL. – К тому же, ряд сведений не отличается ясностью и полнотой».
Организация также указала, что Google слишком неконкретна в ответах о целях использования личных данных и отскоках их хранения на своих серверах.
Подытоживая всё вышесказанное, CNIL заключила, что получаемое Google от пользователей согласие на обработку данных не является ни «конкретными», ни «однозначным», как того требует GDPR. Google также заранее расставляет «галочки» в соглашении на персонализацию рекламы.
Кроме того CNIL усматривают проблему в том, как Google получает согласие пользователей на обработку данных – с помощью универсальной галочки «Я согласен с Условиями обслуживания Google», не гарантирующей, что пользователи понимают, во что они ввязываются.
Максимальный штраф во Франции за нарушение защиты данных составлял всего 150 000 евро, хотя за два года до вступления в силу GDPR его увеличили до 3 млн евро. Теперь, когда действует новый общеевропейский закон, максимальная сумма составляет 20 млн евро или 4% от мирового годового дохода. Для Alphabet, получившей в 2017 г. 110,8 млрд долл., предельно возможная сумма взыскания, таким образом, почти достигает 4 млрд евро.
CNIL отмечает, что назначенные 50 млн евро отвечают серьёзности правонарушения. Если же Google не приведёт свои практики в соответствие с GDPR, ей грозят новые штрафы.
Материал «Компьютерное обозрение»