О насУслугиПресс-центрПолезноеКонтакты
Поиск
RuEnCzCnVn
Мониторинг законодательстваМониторинг международного законодательстваКонсультации
5 февраля 2019

Практика штрафов за нарушение регламента GDPR продолжается.

В январе 2019 года французский национальный комитет по защите персональных данных (CNIL) оштрафовал GOOGLE за нарушение норм Регламента GDPR в размере 50 миллионов евро. На сегодняшний день это самый крупный штраф, который был наложен за нарушение GDPR.

Основные претензии, которые были предъявлены GOOGLE, связаны с отсутствием законных оснований у GOOGLE для обработки персональных данных пользователей при оказании им услуг, в том числе для персонализированной рекламы, а именно:

  1. Как установил CNIL, информация для пользователей, размещаемая GOOGLE в целях соблюдения требований Регламента GDPR, является труднодоступной для ознакомления. Чтобы ознакомиться со всеми «политиками» GOOGLE, относящимися к обработке персональных данных, пользователю необходимо прочитать несколько документов, доступ к которым связан с переходом от одной страницы к другой по размещенным ссылкам, причем ряд из них представлен как «дополнительная информация». По подсчетам CNIL пользователю нужно для этого совершить от 5 до 6 действий.
  2. Более того, размещенная информация GOOGLE в сфере обработки персональных данных, по мнению контролирующего органа, не всегда понятна и трудна для восприятия для обычного пользователя. Например, очень широко и неопределенно указаны цели обработки персональных данных, а также категории персональных данных, обрабатываемых для этих целей. Кроме того, не для всех данных содержится указание на сроки их хранения.
  3. Еще одной основной претензией к GOOGLE CNIL назвал отсутствие законного основания для обработки персональных данных в целях персонализированной рекламы. Согласие пользователя было признано как «неполученное» по двум причинам:
  • пользователи не были информированы надлежащим образом о том, для каких целей они предоставляют свое согласие. Например, в разделе, посвященном персонализированной рекламе (Ads Personalization) нет информации о том, какие услуги, сайты, приложения охватываются обработкой персональных данных для этих целей,
  • согласие пользователей не является «определенным» (specific) и «однозначным/недвусмысленным» (unambiguous), как того требует GDPR. В частности, настройки персонализированной рекламы являются «предустановленными», и чтобы их изменить, пользователю необходимо совершить дополнительные действия после регистрации личного кабинета (войти в специальный раздел, поставить/убрать «галочки» и т.п.). Хотя нормы GDPR требуют, чтобы первоначальным было именно согласие пользователя, выраженное в данной ситуации, до регистрации личного кабинета.

Также отмечается, что при регистрации в GOOGLE пользователь проставляет «галочки» только в двух полях: «Согласен с условиями оказания услуг» и «Согласен на обработку моих персональных данных для этих целей». Т.е., пользователи таким образом дают согласие якобы на все действия по обработке персональных данных. Однако GDPR требует, чтобы согласие было конкретным и однозначным в отношении каждого действия по обработке персональных данных, и у пользователей должен быть выбор предоставлять такое согласие или нет.

Что интересно в данном деле:

  • Поводом для обращения стали жалобы физических лиц — пользователей, которые обратились не напрямую в CNIL, а через местные правозащитные объединения. Причем до того, как начать проверку по их жалобам, CNIL должен был определиться с тем, правомочен ли он на это.

    GDPR предусматривает принцип «одного окна», в соответствии с которым, даже если жалоба поступила в контролирующий орган одной страны ЕС, рассматривать ее полномочен контролирующий орган той страны, в которой нарушитель имеет преимущественное (основное) местонахождение. Поэтому жалоба автоматически передается самим контролирующим органом, который ее получил контролирующему органу той страны ЕС, к которой относится нарушитель.

    CNIL в связи с этим первоначально обратился к ирландскому контролирующему органу, т.к. именно в Ирландии зарегистрированы основные организации GOOGLE. Однако выяснилось, что за предъявленные пользователями нарушения ни одна из них не отвечает — в этом деле рассматривались нарушения, которые выявлены в GOOGLE на устройствах системы Android. Поэтому жалоба была рассмотрена CNIL (во Франции) — по месту нахождения самих субъектов персональных данных, которые с жалобой обратились.
  • Размер штрафа определялся с учетом того, что GOOGLE — одна из крупнейших организаций, пользователями которой является огромное количество людей по всему миру, ведь устройствами с системой Android пользуются очень многие. И соответственно, выручка GOOGLE, которую ей приносит персонализированная реклама, достаточно большая.

С учетом данного дела многим компаниям, осуществляющим обработку персональных данных, рекомендуется обратить внимание на установленные CNIL нарушения и претензии, чтобы минимизировать риски привлечения к ответственности по GDPR. Особенно, как показывает практика, многие не отвечают требованиям получения однозначного и конкретного согласия пользователей на обработку их персональных данных, т.к. большинство предлагает согласиться «со всеми условиями обработки персональных данных и их целями».

Услуги

ЗАДАЙТЕ ВОПРОС СПЕЦИАЛИСТУ ПРЯМО СЕЙЧАС:
НАМ ДОВЕРЯЮТ:
НАШ АДРЕС:
© 2019 Legal Bridge     |     +7 495 287-73-94     |     legal-bridge     |     info@legal-bridge.ru     |     Поиск по сайту
Использование Сайта, в том числе использование формы обратной связи, означает согласие с Политикой конфиденциальности.