Amenda primita de Google pentru prelucrarea datelor cu caracter personal – un semnal de alarma ce nu poate fi ignorant
La data de 21 ianuarie 2019, autoritatea de supraveghere din a spulberat linistea instaurata in materia protectiei datelor cu caracter personal prin aplicarea unei amenzi de 50 de milioane de euro gigantului Google.
Aceasta sanctiune este cea mai mare amenda dupa aplicarea la nivel european a Regulamentului General privind Protectia Datelor ( GDPR sau Regulamentul ), fapt ce poate determina autoritatile similare din alte state membre sa prinda curaj in investigatiile desfasurate sau planuite. De altfel, nerespectarea GDPR a mai fost sanctionata si in ale situatii (de autoritatile din Portugalia, Suedia sau Germania, de exemplu), insa nivelul amenzilor aplicate nu a fost la fel de spectaculos, iar investigatiile nu au vizat organizatii de marimea si notorietatea Google.
Fara a face vreo apreciere cu privire la temeinicia motivelor ce au stat la baza aplicarii acestei amenzi si fara a analiza din punct de vedere juridic situatia concreta de fapt ce a condus la aplicarea sanctiunii, decizia nefiind definitiva, consideram totusi ca este necesar sa punctam aspectele practice care au facut obiectul investigatiei CNIL. Si asta pentru ca cele investigate de CNIL sunt chestiuni general aplicabile, indiferent de marimea sau profilul organizatiei ce prelucreaza date cu caracter personal.
Asadar, conform deciziei de sanctionare, Google a fost amendata pentru neindeplinirea obligatiei de transparenta fata de persoanele vizate, pentru furnizarea de informatii neadecvate scopului prelucrarii si pentru lipsa unui consimtamant valabil pentru marketingul personalizat in cazul configurarii unui telefon cu sistem de operare Android, indiferent de producatorul acestuia din urma.
Pe scurt, la baza investigatiei CNIL au stat doua plangeri colective formulate, la data de 25 mai 2019, respectiv 28 mai 2019, de doua organizatii non-guvernamentalece reprezinta 9.974 de persoane fizice si care sustin ca prelucrarea datelor cu caracter personal de catre Google se face in lipsa unui temei legal, mai ales in privinta prelucrarilor de date cu caracter personal in scopuri de marketing personalizat.
Pornind de la cele semnalate de cele doua organizatii non-guvernamentale, CNIL a facut un exercitiu simplu.
Au efectuat o cercetare prin care a fost verificata respectarea prevederilor GDPR cu ocazia configurarii, de catre un utilizator obisnuit, a unui dispozitiv mobil ce utilizeaza sistemul de operare Android. Au fost verificate astfel formularele ce trebuie completate, politicile ce trebuie acceptate si actiunile pe care utilizatorii trebuie sa le execute pentru a finaliza configurarea.
Amenda primita de Google pentru prelucrarea datelor cu caracter personal un semnal de alarma ce nu poate fi ignorant la activitatile de prelucrare nu sunt usor accesibile.
CNIL a constatat ca sunt necesare actiuni succesive, uneori in 5 sau 6 pasi, pentru a ajunge la informatia completa, fapt ce contrazice principiul accesului facil la informatii complete cu privire la activitatea de prelucrare a datelor cu caracter personal conform Regulamentului.
In continuare, CNIL a apreciat ca informatiile prezentate de Google utilizatorilor nu sunt intotdeauna usor de inteles. Scopurile de prelucrare sunt prezentate la nivel general, fara detalii concrete, fapt ce este agravat atat de complexitatea activitatilor de prelucrare, cat si de multitudinea de servicii si aplicatii puse la dispozitia utilizatorilor.
De asemenea, CNIL a constatat ca nu sunt indicate categoriile de date cu caracter personal prelucrate.
Ultimul aspect ce a stat la baza sanctiunii aplicate este legat de nerespectarea cerintelor GDPR in privinta obtinerii unui consimtamant valabil al utilizatorilor, in special cu ocazia personalizarii activitatilor de marketing. CNIL a ajuns la concluzia ca utilizatorii nu sunt informati in mod corespunzator, adica nu stiu, de fapt, pentru ce isi dau consimtamantul.
Autoritatea de supraveghere a constatat ca informatiile sunt cuprinse in mai multe documente, greu de urmarit si ca, de fapt, prin acceptarea termenilor si conditiilor Google, utilizatorii isi dadeau consimtamantul pentru o serie de prelucrari neidentificate corespunzator si complet.
Prin urmare, s-a apreciat ca, in cazul analizat, consimtamantul persoanelor vizate nu este unul informat si lipsit de ambiguitate. Mai mult decat atat, desi exista posibilitatea configurarii optiunilor pentru marketing personalizat, analiza a relevat chiar prezenta unor casute pre-bifate, fapt ce contravine, din nou, regulilor stabilite de Regulament.
Mergand mai departe, subliniem ca indeplinirea obligatiei de informare a persoanelor vizate este de esenta Regulamentului, motiv pentru care si sanctiunile prevazute in caz de nerespectare sunt drastice. Indiferent de marimea organizatiei, volumul sau categoriile de date cu caracter personal prelucrate, informarea persoanelor vizate trebuie sa reprezinte o prioritate. Informatiile prezentate persoanelor fizice trebuie sa fie complete, usor accesibile si prezentate intr-un limbaj usor de inteles.
Persoanele vizate trebuie sa stie exact cum, de ce si de catre cine le sunt prelucrate datele cu caracter personal. In plus, atunci cand temeiul legal al prelucrarii este consimtamantul, acesta trebuie obtinut pentru fiecare activitate de prelucrare in parte si cu evitarea, cu orice pret, a casutelor pre-bifate.
Aceasta sanctiune este cea mai mare amenda dupa aplicarea la nivel european a Regulamentului General privind Protectia Datelor ( GDPR sau Regulamentul ), fapt ce poate determina autoritatile similare din alte state membre sa prinda curaj in investigatiile desfasurate sau planuite. De altfel, nerespectarea GDPR a mai fost sanctionata si in ale situatii (de autoritatile din Portugalia, Suedia sau Germania, de exemplu), insa nivelul amenzilor aplicate nu a fost la fel de spectaculos, iar investigatiile nu au vizat organizatii de marimea si notorietatea Google.
Fara a face vreo apreciere cu privire la temeinicia motivelor ce au stat la baza aplicarii acestei amenzi si fara a analiza din punct de vedere juridic situatia concreta de fapt ce a condus la aplicarea sanctiunii, decizia nefiind definitiva, consideram totusi ca este necesar sa punctam aspectele practice care au facut obiectul investigatiei CNIL. Si asta pentru ca cele investigate de CNIL sunt chestiuni general aplicabile, indiferent de marimea sau profilul organizatiei ce prelucreaza date cu caracter personal.
Asadar, conform deciziei de sanctionare, Google a fost amendata pentru neindeplinirea obligatiei de transparenta fata de persoanele vizate, pentru furnizarea de informatii neadecvate scopului prelucrarii si pentru lipsa unui consimtamant valabil pentru marketingul personalizat in cazul configurarii unui telefon cu sistem de operare Android, indiferent de producatorul acestuia din urma.
Pe scurt, la baza investigatiei CNIL au stat doua plangeri colective formulate, la data de 25 mai 2019, respectiv 28 mai 2019, de doua organizatii non-guvernamentalece reprezinta 9.974 de persoane fizice si care sustin ca prelucrarea datelor cu caracter personal de catre Google se face in lipsa unui temei legal, mai ales in privinta prelucrarilor de date cu caracter personal in scopuri de marketing personalizat.
Pornind de la cele semnalate de cele doua organizatii non-guvernamentale, CNIL a facut un exercitiu simplu.
Au efectuat o cercetare prin care a fost verificata respectarea prevederilor GDPR cu ocazia configurarii, de catre un utilizator obisnuit, a unui dispozitiv mobil ce utilizeaza sistemul de operare Android. Au fost verificate astfel formularele ce trebuie completate, politicile ce trebuie acceptate si actiunile pe care utilizatorii trebuie sa le execute pentru a finaliza configurarea.
Amenda primita de Google pentru prelucrarea datelor cu caracter personal un semnal de alarma ce nu poate fi ignorant la activitatile de prelucrare nu sunt usor accesibile.
CNIL a constatat ca sunt necesare actiuni succesive, uneori in 5 sau 6 pasi, pentru a ajunge la informatia completa, fapt ce contrazice principiul accesului facil la informatii complete cu privire la activitatea de prelucrare a datelor cu caracter personal conform Regulamentului.
In continuare, CNIL a apreciat ca informatiile prezentate de Google utilizatorilor nu sunt intotdeauna usor de inteles. Scopurile de prelucrare sunt prezentate la nivel general, fara detalii concrete, fapt ce este agravat atat de complexitatea activitatilor de prelucrare, cat si de multitudinea de servicii si aplicatii puse la dispozitia utilizatorilor.
De asemenea, CNIL a constatat ca nu sunt indicate categoriile de date cu caracter personal prelucrate.
Ultimul aspect ce a stat la baza sanctiunii aplicate este legat de nerespectarea cerintelor GDPR in privinta obtinerii unui consimtamant valabil al utilizatorilor, in special cu ocazia personalizarii activitatilor de marketing. CNIL a ajuns la concluzia ca utilizatorii nu sunt informati in mod corespunzator, adica nu stiu, de fapt, pentru ce isi dau consimtamantul.
Autoritatea de supraveghere a constatat ca informatiile sunt cuprinse in mai multe documente, greu de urmarit si ca, de fapt, prin acceptarea termenilor si conditiilor Google, utilizatorii isi dadeau consimtamantul pentru o serie de prelucrari neidentificate corespunzator si complet.
Prin urmare, s-a apreciat ca, in cazul analizat, consimtamantul persoanelor vizate nu este unul informat si lipsit de ambiguitate. Mai mult decat atat, desi exista posibilitatea configurarii optiunilor pentru marketing personalizat, analiza a relevat chiar prezenta unor casute pre-bifate, fapt ce contravine, din nou, regulilor stabilite de Regulament.
Mergand mai departe, subliniem ca indeplinirea obligatiei de informare a persoanelor vizate este de esenta Regulamentului, motiv pentru care si sanctiunile prevazute in caz de nerespectare sunt drastice. Indiferent de marimea organizatiei, volumul sau categoriile de date cu caracter personal prelucrate, informarea persoanelor vizate trebuie sa reprezinte o prioritate. Informatiile prezentate persoanelor fizice trebuie sa fie complete, usor accesibile si prezentate intr-un limbaj usor de inteles.
Persoanele vizate trebuie sa stie exact cum, de ce si de catre cine le sunt prelucrate datele cu caracter personal. In plus, atunci cand temeiul legal al prelucrarii este consimtamantul, acesta trebuie obtinut pentru fiecare activitate de prelucrare in parte si cu evitarea, cu orice pret, a casutelor pre-bifate.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!
Articole similare din categoria Cazuri practice
26Aug2021
Publicarea pe internet a numerelor de inmatriculare se sanctioneaza cu amenda
de Colectivul de Specialisti Rentrop&Straton
26 Aug 2021
31Mar2019
A saptea Plenara a Comitetului European pentru Protectia Datelor (CEPD)
de Colectivul de Specialisti Rentrop&Straton
31 Mar 2019
Un produs marca