Штраф для «Корпорації добра»: що буде з Google та іншими за порушення GDPR
29 ВЕРЕСНЯ21 січня Національна комісія із захисту даних Франції (СNIL) повідомила на своєму сайті, що наклала штраф на Google за порушення Загального регламенту ЄС про захист даних (GDPR). Півроку знадобилося країнам ЄС для того, аби зробити якісний левел-ап у розмірах штрафів за недотримання даного нормативу. До цього штрафували в основному на 20 000–30 000 євро, а найбільший штраф склав 400 000 євро і стосувався госпіталю в Португалії. Але цей прецедент цікавий не стільки сумою штрафу, скільки жорсткістю підходів регулятора. Чому саме, спеціально для Mind пояснює акціонерний партнер Axon Partners Денис Береговий.
За що? Групові скарги на Google прилетіли до СNIL в той самий день, коли GDPR набрав чинності. Скаржники повідомляли про обробку Google персональних даних користувачів без належних підстав, зокрема, з метою створення персоналізованих рекламних пропозицій.
До уваги українських силовиків: перевірка проводилася онлайн, без обшуків, без вилучення серверів чи іншого видимого для бізнесу втручання. І так можна було.
За результатами перевірок СNIL виявили порушення двох вимог GDPR:
- Прозорість та поінформованість користувачів про обробку персональних даних.
- Відсутність належної згоди користувачів для обробки персональних даних з метою персоналізації реклами.
У випадку з персоналізацією реклами Google був впевнений, що отримав згоду користувачів, бо, по-перше, при створенні Google-aкаунтів користувач погоджується з Політикою конфіденційності, а по-друге, Google має розділ «Ads personalization», де можна вимкнути цю функцію.
Втім, CNIL так не вважає, оскільки інформація про персоналізацію реклами недостатньо чітко доноситься користувачам. Як приклад, Комісія стверджує, що відповідне вікно «Персоналізації» не містить інформації про всю множину Google-сервісів, які здійснюють збір і обробку персональних даних з цією метою (YouТube, Google search, Play Store, Google pictures, Gmail і т. д.), а отже, користувач не може усвідомити, в яких обсягах дані використовуються і як саме вони можуть комбінуватися.
Отже, пройдемося по тексту рішення СNIL
Чому Франція, а не Ірландія. Google працює в Європі через юридичну особу в Ірландії. Але справу порушив не ірландський, а французький регулятор. Відбулося це от чому.
Якщо рішення щодо обробки даних ухвалюються будь-де за межами ЄС, то діє one stop mechanism – куди скарга надійшла, той орган її і розглядає. Оскільки центр прийняття рішень про обробку даних Google знаходиться в США, а скарга вперше надійшла у Франції – то CNIL її і розглядав.
Рекомендуємо
Валютний контроль помер, хай живе валютний контроль!
14 ЧЕРВНЯЕксперти проводять конференції, круглі столи та іншого штибу заходи на тему «лібералізація валютного законодавства». Юристи-експерти-новелісти стирають пальці об «ctrl+c/ctrl+v».
Заповіт міленіала
19 СЕРПНЯЩо і як передаватимуть у спадщину сучасні влогери, опініон лідери і криптомільйонери Типовий спадок українського покоління Х виглядає так: квартира у…
Equity associate
22 КВІТНЯНа проектах я джун. При цьому я співвласник юридичної фірми. Як це відбулося. Перед вступом батьки мені казали, що якщо буду…
Закон про мови: як зробити свій сайт відповідним
19 СЕРПНЯНаталія Кирик, керівник контент студії Wordfactory.ua По-перше, це красиво! Це аргумент номер один на користь україномовного сайту. По-друге, це ефективно. У…
Штраф для «Корпорації добра»: що буде з Google та іншими за порушення GDPR
29 ВЕРЕСНЯІ чому стягнення у 50 млн євро може стати доленосним прецедентом За матеріалами Mind.ua 21 січня Національна комісія із захисту даних.
Компенсація витрат на навчання дитини в дитячому садку та школі
5 ЛЮТОГО 2018Про що йде мова В червні цього року Верховна Рада внесла зміни до Податкового кодексу України. Відтепер батьки, які отримують офіційну…