Google kažnjen sa 50 miliona evra zbog kršenja GDPR-a
CNIL, Francuska organizacija koja se bavi zaštitom podataka izdala je svoju prvu kaznu zbog kršenja GDPR-a. Kazna se odnosi na Google i iznosi 50 miliona evra. Ovo regulatorno telo tvrdi da Google nije ispoštovao regulativu o zaštiti podataka u slučaju kada Android korisnik podešava novi telefon i prati proces koji nudi ovaj operativni sistem.
Dve neprofitne organizacije zvane „None Of Your Business“ i „La Quadrature du Net“, originalne su potpisnice zahteva protiv Google-a i Facebooka. Oni su još u maju 2018. godine, praktično odmah po stupanju GDPR-a na snagu, podneli žalbe protiv ove dve velike kompanije. S obzirom da je Google sada kažnjen, možemo da očekujemo da će sličan scenario da se desi i sa Facebook-om.
S obzirom da je Google-ova evropska centrala stacionirana u Dablinu, CNIL je prvo doneo zaključak da se odluka o obradi podataka ne donosi tu, već u globalnom sedištu u Mountain View-u, u Kaliforniji, pa istraga nije preneta u Irsku, već je nastavljena u Parizu. Nakon toga CNIL je zaključio da Google ne radi u skladu sa GDPR-om po pitanju transparentnosti i pristanka korisnika.
Ovaj regulator je ustanovio da se osnovne informacije o korisnicima, svrha obrade podataka, periodi njihovog skladištenja, kao i kategorije ličnih podataka koje se koriste za personalizaciju oglasa, distribuiraju više nego što je potrebno – kroz različita dokumenta, sa linkovima koje je potrebno pratiti da bi se o tome dobile dodatne informacije o tome, što ukazuje da postoji nedostatak transparentnosti. Na primer, ukoliko korisnik želi da sazna kako se sve njegove informacije obrađuju za personalizaciju, potrebno je da napravi pet ili šest koraka. CNIL takođe naglašava da je često veoma teško za korisnike da shvate kako se njihovi podaci koriste – Google-ova formulacija je namerno preširoka i nejasna.
Druga sporna stavka je Google-ov tok pristanka korisnika koji nije u skladu sa GDPR-om. Google aktivno usmerava korisnike da se prijave upotrebom njihovog naloga – u suprotnom tvrde da će korisničko iskustvo biti loše. Prema CNIL-u, Google je morao da razdvoji akciju kreiranja Google naloga od akcije podešavanja uređaja – grupisanja paketa za pristanak je nezakonito prema GDPR-u.
Dalje, kada korisnik odluči da se prijavi na Google nalog, ne postoji jasno i eksplicitno objašnjenje opcija koje se nude za prihvatanje ili odbijanje. Na primer, kada Google pita da li korisnik želi da prima personalizovane oglase, on ga ne obaveštava da se to odnosi na različite servise – od YouTube-a, preko Google Maps-a, pa do Google Photos-a – dakle ne radi se samo o Android telefonu.
Pored toga, Google ne traži specifičnu i nedvosmislenu saglasnost kada se kreira nalog – opcija za isključivanje personalizovanih oglasa je skrivena iza linka „Više opcija“. Takođe, ta opcija je podrazumevano označena, što ne bi trebalo da bude.
I konačno, Google podrazumevano označava opciju: „Prihvatam obradu mojih informacija kao što je gore opisano i dalje objašnjeno u Pravilima o privatnosti“ kada se kreira novi nalog. Ovakva široka saglasnost je takođe zabranjena pod GDPR-om.
CNIL je takođe podsetio da Google nije uradio ništa po tom pitanju od trenutka kada je počelo njegovo istraživanje u septembru prošle godine.
Iz Google-a za sada nema reakcije na ovu odluku, sem izjave da je kompanija duboko posvećena tim očekivanjima i stvaranju uslova za saglasnost sa GDPR-om, kao i da njihov pravni tim proučava odluku CNIL-a, nakon čega će se odlučiti za sledeće korake.
Izvor: TechCrunch