Πρόστιμο 50.000.000 € σε GOOGLE για παραβίαση GDPR στις προσωποποιημένες-συμπεριφορικές διαφημίσεις: Μία ανάλυση της σχετικής απόφασης

Η γαλλική αρχή για την προστασία δεδομένων (CNIL) επέβαλε στις 21 Ιανουαρίου 2019 πρόστιμο 50 εκατομμυρίων ευρώ στην GOOGLE για παραβίαση των κανόνων για την προστασία των προσωπικών δεδομένων σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων της ΕΕ (ΓΚΠΔ) που άρχισε να εφαρμόζεται από τον περασμένο Μάϊο.

Πρόκειται για το μεγαλύτερο χρηματικό πρόστιμο που έχει επιβληθεί σύμφωνα με τον ΓΚΠΔ σε βάρος ενός αμερικανικού γίγαντα του διαδικτύου.

Η γαλλική αρχή θεώρησε ως υπεύθυνο επεξεργασίας την Google LLC επειδή η εξουσία λήψης αποφάσεων και επομένως και η κύρια εγκατάσταση για την επεξεργασία δεδομένων σχετικά με Android και Google accounts βρίσκεται στις εγκαταστάσεις της εταιρείας στην Αμερική και όχι στην θυγατρική Google Ireland Limited με έδρα την Ιρλανδία, απορρίπτοντας τον ισχυρισμό της εταιρείας ότι αρμόδια αρχή είναι η Ιρλανδική, σύμφωνα με τον μηχανισμό one-stop-shop του ΓΚΠΔ για την κύρια εγκατάσταση σε διασυνοριακές πράξεις επεξεργασίας (άρθρα 56 & 60 του ΓΚΠΔ).

Η CNIL εντόπισε δυο παραβιάσεις:

Α) Παραβίαση των υποχρεώσεων διαφάνειας και ενημέρωσης (άρθρα 12 & 13 του ΓΚΠΔ) και

Β) Παραβίαση της υποχρέωσης νόμιμης βάσης επεξεργασίας (άρθρο 6 του ΓΚΠΔ) στις προσωποποιημένες διαφημίσεις.

Παρατηρήθηκε ότι ουσιώδης ενημέρωση των χρηστών για τις κατηγορίες των δεδομένων, την διάρκεια αποθήκευσης και τους σκοπούς επεξεργασίας αυτών δεν είναι εύκολα προσβάσιμη ούτε είναι σαφής και κατανοητή. Οι πληροφορίες βρίσκονται διασκορπισμένες σε διάφορα έγγραφα και σελίδες που απαιτούν χρήση πολλών κλικ και συνδέσμων για τη λήψη ολοκληρωμένης πληροφόρησης, ενώ και οι πράξεις επεξεργασίας είναι τόσο ογκώδεις με σκοπούς γενικούς και ασαφείς όπως και τα χρησιμοποιούμενα δεδομένα λόγω και των πολλών παρεχόμενων υπηρεσιών (πάνω από 20) που οι χρήστες αδυνατούν να καταλάβουν την έκταση των επεξεργασιών που γίνονται. Επίσης, δεν γίνεται αντιληπτό από τους χρήστες ότι η νόμιμη βάση επεξεργασίας για τις προσωποποιημένες διαφημίσεις είναι η συγκατάθεσή τους και όχι το εύλογο συμφέρον της εταιρείας.

Ακόμα η γαλλική αρχή ανέφερε ότι η μεγαλύτερη μηχανή αναζήτησης παγκοσμίως αποτυγχάνει να λαμβάνει νομίμως συγκατάθεση για την επεξεργασία δεδομένων των χρηστών για προσωποποιημένες διαφημίσεις, αφού η τελευταία δίνεται με ελλιπή ενημέρωση και από προεπιλογή γενικά για όλους τους σκοπούς και όχι ειδικά για τις προσωποποιημένες διαφημίσεις. Όπως παρατηρεί η CNIL η ενημέρωση για τις προσωποποιημένες διαφημίσεις είναι διασκορπισμένη και αφορά πλειάδα υπηρεσιών, ιστοσελίδων και εφαρμογών όπως Google search, You tube, Google home, Google maps, Playstore, Google pictures κ.α. με τεράστιο όγκο δεδομένων και πιθανών συνδυασμών αυτών. Επιπρόσθετα, η συγκατάθεση που λαμβάνεται δεν είναι ούτε «ειδική» δηλαδή για τον συγκεκριμένο σκοπό ούτε «αναμφίβολη» με θετική ενέργεια του χρήστη όπως απαιτεί ο ΓΚΠΔ. Αντιθέτως, δίνεται γενικά για όλους τους σκοπούς επεξεργασίας της Google κατά την δημιουργία λογαριασμού με συμφωνία επί των όρων και της πολιτικής της εταιρείας και με προεπιλεγμένο από τις ρυθμίσεις το κουτάκι για την επεξεργασία που αφορά τις προσωποποιημένες διαφημίσεις.

Η τακτική αυτή ουσιαστικά οδηγεί τον χρήστη σε από-επιλογή (opt-out) αντί επιλογής (opt-in) της επεξεργασίας για προσωποποιημένες διαφημίσεις.

H δικηγόρος του γραφείου μας Χριστιάνα Μάρκου είχε επισημάνει και μιλήσει για τη μη νομιμότητα της μη ξεχωριστής, δηλαδή ειδικής συγκατάθεσης τόσο το 2011 στη διδακτορική της διατριβή όσο και το 2016 στο κεφάλαιο “Behavioural Advertising and the New ‘EU Cookie Law’ as a Victim of Business Resistance and a Lack of Official Determination.” του βιβλίου ‘Data Protection on the Move’ (Springer Netherlands), όπου γίνεται αναφορά ότι η συμπεριφορική, με άλλα λόγια προσωποποιημένη, διαφήμιση που αποτελεί την πιο παρεμβατική στην ιδιωτική ζωή εμπορική πρακτική … εξακολουθεί να γίνεται χωρίς πραγματική προηγούμενη συγκατάθεση του χρήστη. Έπειτα από ανάλυση των αιτιών αυτής της πρακτικής κατέληγε στο συμπέρασμα ότι εναπόκειται στις αρχές προστασίας προσωπικών δεδομένων να αποκαταστήσουν την απαρέγκλιτη τήρηση στις συμπεριφορικές διαφημίσεις της προσέγγισης της επιλογής τους (opt-in) από τον χρήστη και να επιμείνουν στην συμμόρφωση των επιχειρήσεων με αυτήν.

Η απόφαση της CNIL ήρθε ως απάντηση σε καταγγελίες δύο μη κυβερνητικών οργανώσεων των None Of Your Business (noyb) και La Quadrature du Net (LQDN) σε βάρος της Google και άλλων κολοσσών του διαδικτύου όπως το Facebook, Instagram, WhatsApp για μη νόμιμη επεξεργασία δεδομένων σε προσωποποιημένες διαφημίσεις.

Ο Γενικός Κανονισμός Προστασίας Δεδομένων της ΕΕ (ΓΚΠΔ), που τέθηκε σε ισχύ στις 25 Μαΐου του 2018, είναι η μεγαλύτερη τροποποίηση των νομοθεσιών για την προστασία των προσωπικών δεδομένων. Επιτρέπει στους χρήστες να ελέγχουν τα προσωπικά τους δεδομένα και την επεξεργασία αυτών, αυξάνοντας παράλληλα τις υποχρεώσεις όσων χειρίζονται προσωπικά δεδομένα και δίνοντας στις ρυθμιστικές αρχές την εξουσία να επιβάλουν πρόστιμα ύψους μέχρι 20 εκατομμυρίων ευρώ ή 4% του συνολικού παγκοσμίου ετήσιου κύκλου εργασιών των εταιρειών.

Σε ανακοίνωση της η γαλλική αρχή (CNIL) αναφέρει ότι «Το ποσό που αποφασίστηκε και η δημοσιοποίηση του προστίμου δικαιολογούνται από τη σοβαρότητα των παραβάσεων που παρατηρήθηκαν αναφορικά με τις βασικές αρχές του ΓΚΠΔ: διαφάνεια, πληροφορία και συγκατάθεση», ενώ τονίστηκε ότι «το οικονομικό μοντέλο της εταιρείας μερικώς βασίζεται στις προσωποποιημένες διαφημίσεις» και για αυτό «είναι ύψιστη ευθύνη της η συμμόρφωση της» με τον Κανονισμό.

Η Google από την πλευρά της ανακοίνωσε ότι «οι άνθρωποι αναμένουν υψηλές προδιαγραφές διαφάνειας και ελέγχου από εμάς. Είμαστε απόλυτα αφοσιωμένοι να ανταποκριθούμε σε αυτές τις προσδοκίες και στις προϋποθέσεις συγκατάθεσης του ΓΚΠΔ», προσθέτοντας με νεότερη ανακοίνωση (24 Ιανουαρίου 2019) ότι θα προσφύγει με έφεση κατά της απόφασης και ότι ανησυχεί για τις επιπτώσεις της σε εκδότες, δημιουργούς αυθεντικού περιεχομένου και τεχνολογικές εταιρείες στην Ευρώπη και αλλού.

Ελένη Ζαφείρη, δικηγόρος Ελλάδος, Markou & Co LLC

Πηγές:

ΑΠΕ-ΜΠΕ (Αθηναϊκό-Μακεδονικό Πρακτορείο Ειδήσεων) http://www.amna.gr/,

http://www.amna.gr/mobile/articleen/327097/Prostimo-rekor-50-ekateuro-stin-Google-gia-parabiasi-ton-europaikon-kanonon-prostasias-dedomenon

https://www.cnil.fr,

https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc

http://theguardian.com, https://www.theguardian.com/technology/2019/jan/21/google-fined-record-44m-by-french-data-protection-watchdog
https://www.infolawgroup.com/blog/2019/1/23/google-fined-57-million-under-gdpr
https://www.insideprivacy.com/eu-data-protection/google-fined-e50-million-in-france-for-gdpr-violation/
https://www.timelex.eu/en/blog/what-remember-googles-gdpr-fine
https://www.twobirds.com/en/news/articles/2019/france/first-french-gdpr-sanction-google-fined-eur50-million-by-cnil

Image Source: pixabay.com

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.