- blog

Katarzyna Kloc

RODO- kara dla Google

Ogólne

Autorzy: Katarzyna Kloc, Katarzyna Kunda

Francuski organ ochrony danych osobowych (CNIL – Commission nationale de l’informatique et des libertés) nałożył na Google LLC karę administracyjną w wysokości 50 mln EUR w związku z nieprawidłowym przetwarzaniem danych osobowych, w tym w procesie pozyskiwania zgód w zakresie spersonalizowanych reklam.

Sprawa Google pokazuje, że sankcji przewidzianych w RODO nie można traktować jako teoretycznej i abstrakcyjnej groźby dla przedsiębiorców, a kary za niezgodność z RODO będą coraz częściej konsekwentnie wymierzane. Dodatkowo, sprawa ta jest dobrym punktem wyjścia do dyskusji o transgranicznym przetwarzaniu danych w praktyce oraz właściwości wiodącego organu nadzorczego.

POSTĘPOWANIE CNIL

Postępowanie CNIL to efekt skarg złożonych przez dwie organizacje – NYOB (None of your business), na czele której stoi Max Schrems, kontrowersyjny prawnik i aktywista działający na rzecz ochrony danych osobowych oraz francuskiej La Quadrature du Net. Ponadto, NYOB oprócz francuskiej skargi, złożyła skargi na działalność Google równolegle w Austrii, Niemczech, oraz Irlandii. Decyzja CNIL jest pierwszą decyzją wydaną na podstawie tej serii skarg.

CNIL uznał, że Google naruszył RODO poprzez:

  • Brak przejrzystości w spełnianym przez Google obowiązku informacyjnym (naruszenie art. 12 i 13 RODO)

W opinii CNILu, wielowarstwowe spełnienie obowiązki informacyjnego przez Google, w szczególności poprzez rozproszenie wymaganych informacji w wielu dokumentach, dostępnych dopiero po zrealizowaniu kilku kroków i kliknięciu w różne przyciski nie spełnia wymagań związanych z przejrzystością informowania stawianych przez RODO. Ponadto, podane informacje nie zawsze są jasne lub wyczerpujące – przykładowe braki dotyczyły np. okresu retencji dla niektórych danych, czy nieprecyzyjnego opisu celów przetwarzania. W efekcie, osoby, której dane dotyczą, mogą mieć trudności w zrozumieniu w jaki sposób i w jakim celu wykorzystywane są ich dane osobowe.

  • Brak podstawy prawnej do przetwarzania danych w związku z personalizowaniem reklam (naruszenie art. 6 ust. 1 a oraz 4 pkt 11 RODO)

CNIL uznał, że zgoda na przetwarzanie danych w celu personalizowania reklam zbierana od użytkowników jest nieważna z dwóch powodów. Po pierwsze uzyskana zgoda nie spełnia kryterium bycia zgodą świadomą, czyli taką, która wyrażana jest przez użytkownika po uzyskaniu przez niego wszelkich niezbędnych informacji. Wiąże się to z pierwszym naruszeniem – nieprzejrzystym informowaniem przez Google, również w przypadku informowania o personalizowaniu reklam. Ponadto, CNIL stwierdził, że treść udzielanej zgody nie jest ani konkretna ani jednoznaczna, czego również wymaga RODO. Modyfikacje zakresu udzielanej zgody są dostępne dla użytkownika dopiero po kliknięciu w odpowiednie przyciski podczas zakładania konta, a dodatkowo checkboxy służące do wyrażenia zgody są z góry zaznaczone. Jest to praktyka niezgodna z RODO.

ONE STOP SHOP A SPRAWA GOOGLE

W przypadku transgranicznego przetwarzania danych, czyli takiego, które odbywa się w Unii w ramach działalności administratora danych w więcej niż w jednym państwie UE, RODO przewiduje wyznaczenie tzw. wiodącego organu nadzorczego, czyli takiego, który właściwy będzie dla spraw związanych z tym transgranicznym przetwarzaniem. Jest to tak zwana zasada one stop shop.

Wiodący organ nadzorczy wyznacza się według miejsca położenia „centralnej administracji” administratora w Unii lub miejsca, w którym zapadają decyzje co do celów i sposobów przetwarzania danych osobowych.

CNIL we współpracy z innymi organami nadzorczymi, również z irlandzkim organem (Data Protection Commission), gdzie mieści się europejska siedziba Google, zweryfikował czy Google posiada główną jednostkę organizacyjną w UE w rozumieniu RODO i doszedł do wniosku, że w chwili otrzymania skarg, Google takiej jednostki nie miała – stąd CNIL uznał się za właściwy do wydania swojej decyzji. Podstawą takich wniosków był fakt, że irlandzka spółka Google nie posiadała mocy decyzyjnej w zakresie badanych procesów przetwarzania. W zakresie badanych procesów decyzyjna była amerykańska spółka Google LLC.

Jednak od dzisiaj, czyli 22 stycznia 2019, irlandzki organ nadzorczy stał się wiodącym organem nadzorczym dla Google, a zatem skargi związane z transgranicznym przetwarzaniem danych przez europejskie spółki Google powinny być od tej pory rozpatrywane właśnie w Irlandii. Przykładowo – czeski organ nadzorczy stosując się do tej zasady poinformował już irlandzki organ o złożonej w Czechach skardze (https://www.uoou.cz/en/vismo/dokumenty2.asp?id_org=200156&id=1744&p1=0).

Jednak jak zauważa rzecznik prasowy irlandzkiej Data Protection Commission, irlandzki organ nadal nie będzie wiodącym organem w sprawach związanych z wyszukiwarką Google i prowadzonym przez nią indeksowaniem – w tym przypadku administratorem będzie Google LLC czyli amerykański podmiot. Google LLC w tym zakresie nie posiada w Europie głównej jednostki organizacyjnej i sam decyduje o celach i sposobach przetwarzania danych w zakresie wyszukiwarki i indeksowania, dlatego nie jest możliwe objęcie Google LLC zasadą one stop shop.  W przypadku skarg na działalność Google LLC związanych z działaniem wyszukiwarki, każdy z unijnych organów nadzorczych będzie mógł prowadzić postępowanie (wypowiedź rzecznika prasowy irlandzkiej Data Protection Commission dostępna tu: https://globaldatareview.com/article/1179444/google-ordered-to-pay-first-multi-million-gdpr-fine).

W tym momencie ciężko jest przewidzieć jak dokładnie rozgraniczane będą sprawy związane z przetwarzaniem danych przez Google i które będą podpadały pod działanie zasady one stop shop, a zatem pozostaną we właściwości irlandzkiego organu nadzorczego, a które będą mogły być rozpatrywane przez inne organy nadzorcze. To Google będzie musiał wykazywać, że ośrodkiem decyzyjnym jest jej irlandzka spółka, tak żeby móc korzystać z mechanizmu one stop shop – jest to zdecydowanie w interesie Google, ponieważ pozwoli to uniknąć równoległych postępowań, prowadzonych przez różne organy nadzorcze, z których każde rodzić może ryzyko nałożenia kolejnej kary.

Z powyższej sprawy płyną następujące wnioski:

  • RODO to nie martwe przepisy, a realna groźba wysokiej kary finansowej.
  • Zapewnienie zgodności z RODO nie może być jednorazowym działaniem. Wdrożenie RODO było jedynie pierwszym krokiem. Przedsiębiorcy muszą stale monitorować rozwijającą się praktykę i odpowiednio dostosowywać swoją działalność aby zapewnić zgodność z prawem.
  • Zarówno treść jak i sposób wykonania obowiązku informacyjnego mają ogromne znaczenie dla zachowania transparentności przetwarzania danych. Informacje o przetwarzaniu danych klienta powinny być zrozumiałe dla użytkowników serwisów, czytelne oraz łatwo dostępne.
  • Case Google pokazuje, że stosowanie niezgodnych z prawem predefiniowanych zgód (czyli zaznaczonych checkboxów) może skutkować sankcją finansową dla firmy.
  • Od 22 stycznia 2019 irlandzki organ nadzorczy staje się wiodącym organem nadzorczym dla Google w Europie w zakresie transgranicznego przetwarzania. Zasadą one stop shop nie będą jednak objęte sprawy związane z wyszukiwarką Google i indeksacją. W rezultacie – to praktyka wyznaczy zakres spraw, w których Google będzie mógł cieszyć się udogodnieniami płynącymi z zasady one stop shop.

Jeśli mają Państwo jakieś pytania związane z ochroną danych osobowych, zapraszamy do kontaktu z G&P. Nasi specjaliści z chęcią pomogą wyjaśnić Państwa wątpliwości.

 

 

Katarzyna Kloc

katarzyna.kloc@gppartners.pl

Katarzyna Kunda

katarzyna.kunda@gppartners.pl

Maciej Gawroński

maciej.gawronski@gppartners.pl

Gawroński & Piecuch Spółka Komandytowo – Akcyjna

Al. Jana Pawła II 12

00-124 Warszawa