Штраф для «Корпорации добра»: что будет с Google и другими за нарушение GDPR
29 сентября
21 января Национальная комиссия по защите данных Франции (СNIL) сообщила на своем сайте, что наложила штраф на Google за нарушение Общего регламента ЕС о защите данных (GDPR). Полгода понадобилось странам ЕС для того, чтобы сделать качественный левел-ап в размерах штрафов за несоблюдение данного норматива. К этому штрафовали в основном на 20 000-30 000 евро, а самый большой штраф составил 400 000 евро и касался госпиталя в Португалии. Но этот прецедент интересен не столько суммой штрафа, сколько жесткостью подходов регулятора. Почему, специально для Mind объясняет акционерный партнер Axon Partners Денис Бережной.
За что? Группы жалобы на Google сделаны в СNIL в тот же день, когда GDPR вступил в силу. Жалобщики сообщали об обработке Google персональных сотрудников без сотрудников, в частности, с целью создания сотрудников рекламных предложений.
Вниманию украинских силовиков: проверка проводилась онлайн, без обысков, без изъятия серверов или иного видимого для бизнеса вмешательства. И так нельзя.
По результатам проверок СNIL выявили нарушения двух требований GDPR:
- Прозрачность и осведомленность пользователей об обработке персональных данных.
- Отсутствие надлежащей согласия пользователей для обработки персональных данных с целью персонализации рекламы.
Так выглядит окно настроек персонализациирекламы в Google-аккаунте
Впрочем, CNIL так не считает, поскольку информация о персонализации рекламы недостаточно четко доносится пользователям. В качестве примера, Комиссия утверждает, что соответствующее окно «Персонализации» не содержит информации о все множество Google-сервисов, осуществляющих сбор и обработку персональных данных с этой целью (YouТube, Google search, Play Store, Google pictures, Gmail и т. Д. ), а значит, пользователь не может понять, в каких объемах данные используются и как они могут комбинироваться.
Итак, пройдемся по тексту решения СNIL
Почему Франция, а не Ирландия. Google работает в Европе через юридическое лицо в Ирландии. Но дело нарушил не ирландский, а французский регулятор. Произошло это вот почему.
Если решение по обработке данных принимаются где за пределами ЕС, то действует one stop mechanism - куда жалоба поступила, то орган ее и рассматривает. Поскольку центр принятия решений об обработке данных Google находится в США, а жалоба впервые поступила во Франции - это CNIL ее и рассматривал.
