Националната комисия за защита на данните на Франция (CNIL) глоби американския технологичен гигант Google с рекордните 50 милиона евро. Регулаторната институция обяви на уеб страницата си, че глобата се налага заради нарушения на Европейската директива за защита на личните данни (GDPR). Случаят може да се разгледа от няколко страни и тази статия ще обобщи някои от тях.
Ако трябва да се върнем към самото начало, стигаме до датите 25 и 28 май 2018 г. Тогава две френски асоциации – La Quadrature du Net (LQDN) и None Of Your Business (NOYB) подават групови жалби до CNIL. Твърденията им са, че Google няма правно основание да обработва данните на своите потребители, и по-специално да прави това с цел персонализиране на реклами.
CNIL започва разследване в началото на юни 2018 г. чрез комитет, отговорен за проучването на потенциални нарушения на закона за личните данни. Заключението им е било, че Google не е спазил GDPR по два начина. Първо, компанията нарушава задължението си да предоставя прозрачност и адекватна информация. И второ, няма правно основание за обработването на данни с цел персонализиране на реклами.
С други думи, комитетът на CNIL решава, че Google не предоставя на своите потребители пълна и ясна картина относно данните, които събира, нито ясни и специфични инструменти, с които те да заявят съгласие данните им да се обработват.
Една от причините за изключително високата глоба може да бъде продължителния период на нарушенията. Както се казва в изявлението на CNIL:
„Нарушенията са продължително неспазване на регулациите и все още са факт. Това не е еднократно, ограничено във времето, нарушение“.
Интересно заключение може да се направи на база първопричината за разследването на CNIL – колективните усилия на хиляди хора. Само жалбата на LQDN е била подкрепена от 10,000 лица. Това явление не бива да бъде подценявано. То може да бъде силен сигнал, че гражданското общество може да работи като „органичен регулатор“, паралелно с официалните институции.
Друго възможно последствие от рекордната глоба е стъпка в посока подобен, всеобхватен федерален закон за данните на потребителите в САЩ. Според Washington Post, непосредствено след изявлението на CNIL, защитници на правата на потребителите в САЩ са окуражили Вашингтон да последва примера на Европа.
Все още не е ясно дали френските граждани ще променят предпочитанията си в технологичната сфера заради случая с Google. Трябва да се отбележи обаче, че към настоящия момент Google доминира на пазара във Франция със своя Android. Това е и една от причините за колосалния размер на глобата. Както се казва в изявлението на CNIL: „хиляди французи всеки ден създават профили в Google, използвайки смартфоните си“.
Засега от Google не са казали много във връзка с решението на френския регулатор. Компанията вече е обжалвала глобата, твърдейки, че тя следва да бъде наложена за френските сайтове, като Google.fr, а не общо за домейна Google.com domain.
„Хората очакват високи стандарти на прозрачност и контрол от нас. Ние сме дълбоко отдадени на покриването на тези очаквания и на изискванията за съгласие на GDPR”, каза говорител на Google.
Завършваме тази статия с коментар на Мария Крумова, старши юридически консултант е екипа на AMATAS:
„Обявената в понеделник от Френския регулаторен орган CNIL рекордна глоба от 50 милиона евро за американския гигант Google повдига интересна и все по-актуална тема за валидността на съгласието, като основание за обработване на лични данни. Практиката и до момента показва, че администраторите на лични данни се отнасят с голямо предпочитание към съгласието, дори и в случаите, в които разполагат с други алтернативни варианти. Решението на CNIL обаче е доказателство, че високите стандарти на прозрачност и контрол, въведени с GDPR, са сериозна гаранция за лицата, особено в случаите, в които данните им се обработват в онлайн средата. Време е за всички, които обработват лични данни, да разберат, че позоваването на съгласието като правно основание, следва да е съобразено с логиката на новата европейска правна рамка – предоставяне на конкретна, прозрачна и лесно достъпна информация.
Решението на CNIL отправя ясни индикации към администраторите, че новите правила на GDPR не следва да се отчитат формално, особено в случаите, в които се позовават на толкова несигурно и непостоянно основание като съгласието на физическите лица.“
Снимка: Pexels
