50 mln euro kary dla Google za naruszenie RODO. Analiza przypadku i wnioski
Chociaż od wdrożenia RODO minęło już trochę czasu, w praktyce przepisy rozporządzenia w dalszym ciągu budzą wiele wątpliwości i kontrowersji.
Dlatego warto z uwagą śledzić różne głosy i stanowiska w kwestii stosowania RODO, ponieważ mogą być one pomocne w zapewnieniu zgodności z rozporządzeniem w naszej organizacji. Szczególnie interesującym przypadkiem z ostatnich tygodni jest kara w wysokości 50 mln euro nałożona na Google.
Google nieprawidłowo wypełnia obowiązek informacyjny
21 stycznia 2019 francuski organ nadzoru CNIL postawił Google zarzuty nieprawidłowego wypełnienia obowiązku informacyjnego wobec osób, których dane przetwarza. Podstawowe informacje, takie jak cele przetwarzania, okres przechowywania, rodzaj danych zbieranych w celu personalizacji reklam, są rozproszone w różnych dokumentach, które odsyłają do kolejnych dokumentów, a czasem wymagają powrotu do wcześniejszych etapów. Na przykład uzyskanie informacji na temat danych zbieranych w ramach usług geolokalizacyjnych wymaga podjęcia sześciu działań w postaci przejścia przez linki lub kliknięcia odpowiednich przycisków. Google przyjął też tytuły dokumentów, które niekoniecznie odzwierciedlają ich treść, co jest dodatkowo mylące dla użytkownika.
CNIL zauważył także, że wiele informacji wymaganych przez RODO zostało opisanych przez Google w sposób nieprecyzyjny lub zbyt ogólny. Dotyczy to m.in. celów przetwarzania, kategorii danych przetwarzanych dla tych celów czy podstaw prawnych przetwarzania. Z punktu widzenia użytkownika są to podstawowe informacje, a ich nieprecyzyjne opisanie narusza zasadę transparentności.
Brak zgody na personalizację reklam
Drugim zasadniczym zarzutem wobec Google jest brak ważnej zgody na przetwarzanie danych w celu personalizacji reklam. Zdaniem CNIL użytkownicy nie są należycie poinformowani o warunkach przetwarzania, np. o liczbie usług, stron lub aplikacji, które przetwarzają ich dane. W konsekwencji użytkownik może przekazywać wiele informacji na swój temat bez świadomości, w jaki sposób i przez kogo mogą być one wykorzystywane.
Pomimo że użytkownik przy rejestracji ma możliwość konfiguracji personalizacji reklam, takie rozwiązanie nie spełnia wymagań RODO, ponieważ domyślnie ustawione są zgody. Dodatkowo łączne wyrażenie zgody na przetwarzanie dla różnych celów poprzez akceptację regulaminu i zaznaczenie okienek o wyrażeniu w całości zgody na przetwarzanie danych przez Google również nie spełniają wymogów RODO, ponieważ taka zgoda nie może być uznana za konkretną i jednoznaczną.
Wnioski, czyli jak się ustrzec kar?
Z przedstawionego rozstrzygnięcia CNIL w sprawie Google administratorzy danych powinni wyciągnąć wnioski, dotyczące dobrych praktyk:
- wszystkie informacje dla osób, których dane są przetwarzane powinny być podawane w sposób przejrzysty i zrozumiały, prostym językiem, starajmy się unikać nieprecyzyjnych określeń np. “przetwarzamy dane dla własnych uzasadnionych celów”, “stosujemy odpowiednie środki”, jeżeli nie wskażemy jakie to cele lub środki, taka informacja będzie bezużyteczna,
- tytuły dokumentów powinny odzwierciedlać treść i nie mogą wprowadzać czytelnika w błąd, np. informacje o okresie przechowywania danych powinny być zawarte w dokumencie, który jest tak zatytułowany (w przypadku Google dokument nazywał się “eksportowanie i usuwanie informacji”),
- należy konkretnie i precyzyjnie opisywać wymagane przez RODO informacje, w tym jasno wskazywać cel przetwarzania, kategorie zbieranych danych i podstawy prawne przetwarzania,
- klauzule informacyjne powinny być wyraźnie oddzielone od innych regulacji, nie powinny się znajdować w ogólnych regulaminach, warunkach świadczenia usług, itp.
- dostęp do podstawowych informacji powinien być łatwy i szybki; oczywiście podejście na zasadzie warstwowego przekazywania informacji (najpierw podstawowe informacje, a bardziej szczegółowe w dalszych etapach) jest dopuszczalne, jednak sposób takiego odesłania powinien być czytelny i nie odsyłać użytkownika w nieskończoność lub co gorsza z powrotem do dokumentów ogólnych,
- jeśli przetwarzanie jest dokonywane w oparciu o zgodę użytkownika należy zadbać, by była ona powiązana z konkretnym celem przetwarzania, i aby wyrażenie zgody wiązało się z zaznaczeniem przez użytkownika odpowiedniej opcji, a nie domyślnym ustawieniem zgody,
- brak jasnej i przejrzystej informacji o przetwarzaniu danych może prowadzić do zakwestionowania wyrażonej przez użytkownika zgody, co w konsekwencji oznacza brak podstaw prawnych do przetwarzania danych.
Powyższe zalecenia nie są nowe i wynikają bezpośrednio z przepisów RODO, ale jak widać, nie zawsze są przestrzegane i warto o nich pamiętać.
RODO to nie formalność, ale dbanie o świadomy wybór
Wnioski, jakie jako administratorzy powinniśmy wyciągnąć ze sprawy Google, są takie, że należy zadbać nie tylko o formalne zapewnienie, że obowiązek informacyjny został spełniony, czy też zgoda udzielona, ale pamiętać, aby rzeczywiście zapewnić użytkownikowi możliwość świadomego wyboru. Jest to duże wyzwanie biorąc pod uwagę zakres informacji wymaganych przez RODO i rozbudowane klauzule, którymi często posługuje się wielu administratorów.
Można się jednak spodziewać, że organy nadzoru będą przykładać dużą wagę do sposobu realizacji obowiązków zapewnienia praw osób, których dane są przetwarzane. Warto więc zadbać o tę kwestię i zawczasu zweryfikować, czy wszystkie obowiązki informacyjne są należycie wypełnione, a udzielone zgody są konkretne, świadome i jednoznaczne.