Prancūzijos duomenų apsaugos intitucija (CNIL) bendrovei paskyrė 50 milijonų eurų baudą už kelis pažeidimus: (i) skaidrumo ir informavimo įsipareigojimų pažeidimą bei (ii) reikalavimų turėti teisėtą pagrindą reklamos personalizavimui nevykdymą. Tyrimo metu CNIL analizavo Google paslaugų naudotojo naršymo kelią ir dokumentus, kurie yra prieinami asmeniui, kai šis kuria Google paskyrą savo naujo „Android“ mobiliojo telefono konfiguracijos metu.

Tyrimo eigoje paaiškėjo, kad:

• esminė informacija, kaip kad duomenų tvarkymo tikslai, duomenų saugojimo laikotarpiai arba reklamos personalizavimui naudojamos asmens duomenų kategorijos, yra pernelyg “išmėtyti” per kelis dokumentus, naudojant mygtukus bei nuorodas, kuriuos būtina spustelėti, kad gautum papildomą informaciją. Jeigu naudotojas nori sužinoti, kaip tvarkomi jo duomenys reklamos personalizavimui, tam reikia net 5 ar 6 žingsnių. CNIL taip pat teigia, kad naudotojui dažnai sunku suprasti, kaip tiksliai naudojami jo asmens duomenys, nes „Google“ formuluotės tikslingai surašytos neaiškia ir nekonkrečia kalba;

• “Android” nustatymai sukurti taip, kad telefono konfiguracijos metu „Google“ realiai verčia naudotoją prisijungti arba prisiregistruoti prie „Google“ paskyros. Bendrovė praneša, kad jūsų patirtis bus blogesnė, jei „Google“ paskyros jūs neturite. Pasak CNIL, „Google“ turėtų atskirti paskyros sukūrimo veiksmą nuo įrenginio konfiguracijos veiksmo - sutikimo “prijungimas” yra neteisėtas pagal GDPR;

• kai “Google” siūlo pažymėti savo pasirinkimus, nėra paaiškinama, ką šie pasirinkimai reiškia. Tai yra, kai „Google“ klausia, ar norite individualizuotos reklamos, naudotojams nėra paaiškinama, kad kalba eina ne apie „Android“ telefoną, bet apie daugybę skirtingų paslaugų, nuo „YouTube“ iki „Google“ žemėlapių bei „Google“ nuotraukų. Dar daugiau, kuriant „Google“ paskyrą, nėra prašoma konkretaus ir nedviprasmiško sutikimo - galimybė atsisakyti personalizuotos reklamos yra paslėpta po nuoroda „Daugiau parinkčių“. Šią nuorodą paspaudus, numatytasis nustatymas personalizuotą reklamą leidžia (varnelė neturi būti padėta automatiškai).

Kas dar įdomu, kad spręsdamas dėl baudos dydžio, CNIL vertino pažeidimų tęstinumą, “Android” operacijos sistemos naudotojų Prancūzijoje skaičių bei “Google” ekonominio modelio pagrindą, kuris iš dalies remiasi būtent reklamos personalizavimu.

Kadangi GDPR buvo kuriamas turint galvoje ne mažas ir vidutines įmones, o tokias kompanijas kaip “Google”, sulaukti pirmojo sprendimo tokios bendrovės atžvilgiu visada labai įdomu. Ir nors pati nesu “Android” naudotoja, šiame tyrime aprašytą ydingą “Google” požiūrį į aiškaus ir skaidraus informavimo nebuvimą pastebėjau daugumoje didesnių bendrovių, kurių paslaugomis tenka naudotis. Dokumentų apimtys ir kiekiai, juose naudojama specifinė, dažnai techninė kalba ne tik neduoda aiškių atsakymų, bet dažnai sukelia dar daugiau klausimų. Čia tikrai yra ir dar ilgai bus ką veikti ne tik teisininkams, bet ir komunikacijos specialistams.

Oficialus šaltinis: https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc