Kolejna kara za naruszanie przepisów RODO – tym razem dla GOOGLE LLC
21 stycznia 2019 roku francuski urząd ochrony danych CNIL (Narodowa Komisja Ochrony Informacji i Wolności) nałożył karę na Google LLC za naruszenie przepisów RODO w wysokości 50 000 000 euro. To czwarta, i to tej pory najwyższa kara nałożona na podstawie przepisów rozporządzenia.
Postępowanie w sprawie Google LLC zostało zainicjowane po otrzymaniu przez CNIL skarg na działanie przedsiębiorstwa przez organizacje pozarządowe, m.in. austriacką None of Your Business (NOYB), której współzałożycielem jest znany aktywista walczący o prawo do prywatności Max Schrems. Organizacja ogłosiła, że złożyła już kolejne skargi wobec m.in. Spotify, Netfix i YouTube w związku z nieprawidłową realizacją prawa dostępu do danych. CNIL zarzucił Google LLC nieprawidłowości w uzyskiwaniu zgód na przetwarzanie danych osobowych oraz przekazywaniu informacji na temat przetwarzania danych.
Dlaczego na Google LLC nałożono karę?
Google LLC nie zrealizowała w prawidłowy sposób prawa do informacji o przetwarzaniu danych. Informacje były porozrzucane po wielu dokumentach, dostępnych za pomocą linków i dodatkowych przycisków, przez co uzyskanie pełnej informacji o przetwarzaniu danych było utrudnione i wymagało podjęcia kilku dodatkowych czynności. Ponadto informacje nie były przekazywane w sposób jasny i zrozumiały przez co użytkownicy mieli trudności z uzyskaniem pełnej wiedzy np. o celach i okresie przetwarzania danych osobowych.
Zgody zbierane od użytkowników na przetwarzanie danych w celu personalizacji wyświetlanych reklam były domyślnie oznaczone jako udzielone w formularzu aplikacji. Użytkownik dopiero poprzez wejście w jej ustawienia i odznaczenie odpowiedniego pola rezygnował z wyrażenia zgody. Taki sposób uzyskiwania zgody został jednoznacznie uznany na niewłaściwy już w wytycznych Grupy Roboczej art. 29 dotyczących zgód. Dodatkowo, Google LLC zbierał tylko jedną ogólną zgodę na przetwarzanie danych, mimo wykorzystywania ich w różnych celach. Zgody nie spełniały więc warunku jednoznaczności i konkretności. Urząd uznał, że Google LLC przetwarzało dane osobowe bez prawidłowo wyrażonej zgody podmiotów danych, a w konsekwencji bez posiadania ważnej podstawy prawnej zgodnie z art. 6 ust 1 RODO.
Wysokość kar za naruszenie przepisów RODO
Kara nałożona na Google LLC mogłaby być znacznie wyższa, ponieważ opisywane naruszenia zagrożone są karą nawet do 4% globalnego rocznego obrotu przedsiębiorcy. Zgodnie z obliczeniami NYOB, maksymalna kara finansowa mogłaby w tym przypadku wynieść aż 3,7 miliarda euro.
Warto w tym miejscu przypomnieć, że maksymalna wysokość kar finansowych wynosi:
- do 20 000 000 euro lub dla przedsiębiorcy 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa) – kara nakładana np. za naruszenie podstawowych zasad przetwarzania danych takich jak zasada minimalizacji danych, ograniczonego celu, przejrzystości, za przetwarzanie danych osobowych bez podstawy prawnej, za naruszenie warunków uzyskania zgody na przetwarzanie danych osobowych bądź niezgodne z RODO przekazywanie danych do państw trzecich i organizacji międzynarodowych;
- do 10 000 000 euro lub dla przedsiębiorcy 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa) – kara nakładana np. za niewyznaczenie inspektora ochrony danych przez podmiot do tego zobowiązany, brak ustaleń pomiędzy współadministratorami danych, korzystanie z usług podprocesora danych bez zgody administratora czy też brak wdrożenia odpowiednich środków technicznych i organizacyjnych w celu realizacji zasad privacy by default i privacy by design.
Kary finansowe nie zawsze będą ulegać sumowaniu. Jeżeli naruszenie kilku przepisów RODO nastąpi w ramach tych samych lub powiązanych operacji przetwarzania, całkowita wysokość kary nie będzie mogła być wyższa niż najwyższa z kar za poszczególne naruszenie.
Skontaktuj się z nami
65-071 Zielona Góra +48 61 853 56 48kancelaria@dudkowiak.com