21 січня Національна комісія із захисту даних Франції (СNIL) повідомила на своєму сайті, що наклала штраф на Google за порушення Загального регламенту ЄС про захист даних (GDPR). Півроку знадобилося країнам ЄС для того, аби зробити якісний левел-ап у розмірах штрафів за недотримання даного нормативу. До цього штрафували в основному на 20 000–30 000 євро, а найбільший штраф склав 400 000 євро і стосувався госпіталю в Португалії. Але цей прецедент цікавий не стільки сумою штрафу, скільки жорсткістю підходів регулятора. Чому саме, спеціально для Mind пояснює акціонерний партнер Axon Partners Денис Береговий.

За що? Групові скарги на Google прилетіли до СNIL в той самий день, коли GDPR набрав чинності. Скаржники повідомляли про обробку Google персональних даних користувачів без належних підстав, зокрема, з метою створення персоналізованих рекламних пропозицій.

До уваги українських силовиків: перевірка проводилася онлайн, без обшуків, без вилучення серверів чи іншого видимого для бізнесу втручання. І так можна було.

За результатами перевірок СNIL виявили порушення двох вимог GDPR:

1. Прозорість та поінформованість користувачів про обробку персональних даних.
2. Відсутність належної згоди користувачів для обробки персональних даних з метою персоналізації реклами.

У випадку з персоналізацією реклами Google був впевнений, що отримав згоду користувачів, бо, по-перше, при створенні Google-aкаунтів користувач погоджується з Політикою конфіденційності, а по-друге, Google має розділ «Ads personalization», де можна вимкнути цю функцію.

Втім, CNIL так не вважає, оскільки інформація про персоналізацію реклами недостатньо чітко доноситься користувачам. Як приклад, Комісія стверджує, що відповідне вікно «Персоналізації» не містить інформації про всю множину Google-сервісів, які здійснюють збір і обробку персональних даних з цією метою (YouТube, Google search, Play Store, Google pictures, Gmail і т. д.), а отже, користувач не може усвідомити, в яких обсягах дані використовуються і як саме вони можуть комбінуватися.

Отже, пройдемося по тексту рішення СNIL

Чому Франція, а не Ірландія. Google працює в Європі через юридичну особу в Ірландії. Але справу порушив не ірландський, а французький регулятор. Відбулося це от чому.

Якщо рішення щодо обробки даних ухвалюються будь-де за межами ЄС, то діє one stop mechanism – куди скарга надійшла, той орган її і розглядає. Оскільки центр прийняття рішень про обробку даних Google знаходиться в США, а скарга вперше надійшла у Франції – то CNIL її і розглядав.