Ekkora GDPR-bírságot még nem látott a világ: 16 milliárd forint

A CNIL közleménye szerint a francia hatóság 2018. májusában több civil szervezettől kapott bejelentést, miszerint a Google nem megfelelő jogalap szerint kezel és dolgoz fel személyes adatokat a szolgáltatásai - különös tekintettel a hirdetések személyre szabására és az Android operációs rendszer - működtetése során. Szeptemberben kezdték meg az online vizsgálatot, melynek célja az volt, hogy meggyőződjenek arról, hogy a Google a francia adatvédelmi törvénynek és a GDPR-nak megfelelő módon végzi-e az adatok gyűjtését és feldolgozását.

A tájékoztatással és a hirdetésekkel is volt baj

A vizsgálat során két fő területet érintő problémát találtak az ellenőrök. A tájékoztatással és átláthatósággal kapcsolatos hiányosságok között szerepelt, hogy az adatkezeléssel kapcsolatos információkhoz nem lehetett könnyen és egyszerűen hozzáférni, valamint hogy a tájékoztatásból  nem értelmezhető könnyen, hogy milyen jogalap szerint történik az adatok feldolgozása. A tájékoztatókban pedig bizonyos adatok tárolásának időszakára sem térnek ki, ezzel is megsértve a GDPR előírásait.

A másik fő terület az egyénreszabott hirdetések alkalmazásának jogalapját érintő hiányosságok voltak. Hiába állítja ugyanis a Google, hogy a hirdetések testreszabásához szükséges adatokat az érintett hozzájárulása alapján kezelik, a hatóság álláspontja szerint ezeket a hozzájárulásokat nem megfelelő módon szerzik be.

Még fellebbezhetnek

A CNIL bizottsága 50 millió eurós (kb. 16 milliárd forintos) bírság kiszabása, -  először élve a GDPR szerint meghatározott új büntetési korlátok lehetőségeivel - valamint az ügy nyilvánosságra hozatala mellett döntött. Ennek oka, hogy a GDPR olyan alapvető elveit sértette meg a Google, mint az átláthatóság, a tájékoztatás és a hozzájárulás - írja a Crosssec összefoglalója. A döntés ellen a Google még fellebbezhet; egyelőre nem kommentálták az ügyet.