Google neplní závazky, které mu ukládá obecné nařízení o ochraně osobních údajů (GDPR) a za své prohřešky má zaplatit pokutu 50 milionů eur (v přepočtu cca 1,3 miliardy Kč). Ve svém rozhodnutí to píše francouzský úřad na ochranu osobních údajů (CNIL). Problémem jsou podle úřadu podmínky, ve kterých firma seznamuje své uživatele s tím, k čemu jejich osobní data používá.
Komise CNIL pokutu uložila po prověření loňských GDPR stížností sdružení None Of Your Business (NOYB) a La Quadrature du Net (LQDN), které namítaly, že Google nemá ke sběru osobních dat dostatečné zákonné důvody a že uživatele tlačí do souhlasu se zpracováním dat, kterému nemohou dostatečně rozumět. Francouzská komise jim po několikaměsíčním vyšetřování dala za pravdu.
Google podle CNIL porušuje GDPR ve dvou ohledech. Uživatelé operačního systému Android podle úřadu nemají dostatečně snadno dostupné informace o tom, jak firma jejich osobní data využívá. „K relevantním informacím se uživatel dostane až po několika krocích, v některých případech musí udělat 5 až 6 akcí,“ popisuje úřad. Je to podle něj třeba v případě, kdy se uživatel chce dostat ke kompletním informacím o tom, jak Google využívá jeho data k personalizaci nebo pro geolokační služby. Vysvětlení navíc podle CNIL nejsou dostatečně jasná a vyčerpávající, takže jim uživatelé nemohou dostatečně porozumět.
Google také podle CNIL nezískává od uživatelů Androidu dostatečný souhlas se zpracováním osobních údajů. Podle GDPR má být souhlas informovaný a jednoznačný, ani jednu podmínku ale Google podle úřadu nesplňuje.
Informace o využívání dat k personalizaci reklam jsou podle rozhodnutí rozesety po několika dokumentech a uživatel si tak nemůže udělat přesnou představu o rozsahu používání svých osobních dat. Z podmínek podle úřadu není například jasné, že Google zpracovává data uživatele na řadě svých služeb (vyhledávání, YouTube, mapy, Google Play a další) a tím pádem uživatel nemusí chápat, o jak velký objem dat se jedná.
Uživatelův souhlas podle CNIL není ani jednoznačný. Když uživatel na Androidu zakládá účet, nedostane hned možnost upravit možnosti zobrazování personalizovaných reklam. Nastavení jsou dostupná až po kliknutí na tlačítko „Více možností“ a souhlas s využitím osobních dat je tu předem zaškrtnut, což podle úřadu požadavkům GDPR nevyhovuje. Aby byl souhlas uživatele jednoznačný, musel by uživatel možnosti sám aktivně zaškrtnout, říká CNIL.
Pokutu ve výši 50 milionů eur pak úřad vysvětluje jednak tím, že prohřešky podle něj závažně porušují základní zásady GDPR, a také tím, že jde o dlouhodobé porušování pravidel, které pokračuje až do těchto dní.
Sdružení NOYB (jeho šéfem je známý rakouský právník Max Schrems) a LQDN v loňském roce podala obdobnou stížnost i proti Facebooku, o které úřady dosud nerozhodly. Letos v lednu také NOYB podala GDPR stížnosti na streamingové služby Netflix, Spotify, Amazon, Youtube, Apple, Soun Cloud a další.
V Česku podalo v polovině loňského prosince GDPR stížnost na Google sdružení dTest. „Dle podnětu sbírá společnost Google data o poloze svých uživatelů zejména prostřednictvím dvou nástrojů, a to pomocí služby ‚Historie polohy‘ a ‚Aktivity na webu a v aplikacích‘. Podnět zdůrazňuje, že společnost Google jedná při zpracování osobních údajů netransparentně, v důsledku toho vznikají dále pochybnosti o zákonnosti daného zpracování a o plnění dalších povinností stanovených správci obecným nařízením,“ popisuje stížnost český Úřad pro ochranu osobních údajů (ÚOOÚ).