Ето решението на последната съдебна инстанция във Франция относно глобата 50 милиона евро, наложена на Google

Държавният съвет потвърди санкцията, наложена от органа за защита на данните

Френският Държавен съвет, най-висшата съдебна инстанция във Франция, потвърди глобата от 50 милиона евро, наложена на Гугъл (Google) за недостатъчна прозрачност и информация за потребителите на Андроид (Android) относно опциите за защита на данните.

В началото на 2019 г. разказах защо Френският орган за защита на данните глоби с 50 млн. евро Google.

Google обжалва решението пред френския Conseil d’Etat (най-високият административен съд) с мотива, че CNIL не е компетентния орган и че това е ирландският орган за защита на данните DPC. Conseil d’Etat обаче потвърди санкцията и юрисдикцията на CNIL в този случай, тъй като „механизмът за обслужване на едно гише“, предвиден в GDPR не е приложим и ирландското предприятие не е разполагало с правомощия за вземане на решения относно операциите по обработка, заложени в момента на решението.

Както разказах през януари 2019 г. в решението на CNIL се установяват нарушения на принципите на GDPR прозрачност, информация и съгласие.

Първо, информацията, предоставена от Google, не е лесно достъпна за потребителите. Съществена информация, като например целите, за които се обработват данните, продължителността на времето на съхранение на данните или категориите данни, използвани за персонализиране на рекламата, са прекалено разпръснати в няколко документа, които включват бутони и връзки, които e необходимо да активирате, за да прочетете допълнителна информация. Съответната информация е достъпна само след няколко стъпки, понякога включващи до пет или шест действия. Такъв е например случаят, когато потребителят иска да има пълна информация за събирането на данните за персонализиране на рекламите или за геолокацията.

Предоставената информация не винаги е ясна и разбираема, а периодът на запазване на някои данни не е посочен.

Google разчита на съгласието на потребителите да обработва данните им за целите на персонализирането. Регулаторът обаче счита, че съгласието не е валидно събрано, защото не е достатъчно информирано и недвусмислено.

Преди да създаде профила си, от потребителя се изисква да отбележи полетата, че приема условията за ползване и съгласие за ползване на личната информация. Този метод води до съгласие от страна на потребителя за всички цели, но съгласието според GDPR е валидно, само ако се дава отделно за всяка цел.

Можете да споделите: