Francuska regulatorna agencija CNIL kaznila je Google s 50 milijuna eura zbog kršenje GDPR odredbi.
Riječ je o prvoj GDPR kazni koju je izdala ta agencija i prvoj GDPR kazni koju je dobila ta tvrtka koja je u 2017. godini ostvarila 110,8 milijardi dolara prihoda i 12,6 milijardi dolara dobiti.
Kako agencija navodi u svom jučerašnjem priopćenju, kazna je određena zbog manjka transparentnosti, nedovoljne količina informacija i manjka vrijedećeg pristanka vezano uz personalizaciju oglasa.
Povod za kaznu bile su prijave koje su u svibnju 2018. godine, nakon stupanja GDPR-a na snagu podnijele udruge None Of Your Business i La Quadrature du Net koje su podnesene u svibnju 2018. godine. U prijavama se navodilo kako Google nije imao važeću pravnu podlogu za obradu osobnih podataka korisnika, prvenstveno kod personalizacije oglasa.
CNIL je prvo proslijedio kazne drugim regulatorima u EU, jer je predviđeno da ovakve akcije koordinira regulatorna agencija u kojoj tvrtka donosi odluke za EU, odnosno u ovom slučaju u Irskoj, no zaključeno je kako tamošnja podružnica Googlea nema takve ovlasti, pa je donošenje odluke vraćeno na francusku agenciju.
Inspekcijom obavljenom u rujnu 2018. godine, zaključeno je da Google krši GDPR na dva načina. Informacije poput razloga zbog kojih se procesiraju podaci, razdoblje koliko ostaju sačuvani, kategorije podataka koje se koriste za personalizaciju oglasa nisu dovoljno transparentni i dostupni. Isto tako dio informacija nije jasan i razumljiv.
Zabilježeno je i nepoštivanje nekih GDPR odredbi, pa su neke opcije vezane uz personalizaciju oglasa unaprijed označene kvačicom i nedostupne korisniku bez otvaranja dodatnih postavki ili police s uvjetima privatnosti.
Nandino Lončar: Razlog za kažnjavanje nije bio izostanak prilagodbe, nego nepostizanje ciljeva
"Zanimljivo je primijetiti da jedan od razloga za kažnjavanje nije bio izostanak prilagodbe, nego se prilagodbom nisu postigli ciljevi GDPR-a: informacije moraju biti krajnjem korisniku transparentne i lako dostupne! Bez obzira što se radi o ogromnom sustavu, regulatorna agencija smatrala je da nije prihvatljivo da željene informacije korisnik mora tražiti u nekoliko dokumenata i da mu za to treba 5-6 koraka. Iz ovakvih primjera moraju učiti i manje tvrtke, koje smatraju da će prilagodbu GDPR-u postići samo rješavanjem dokumentacije. Bitna je prilagodba poslovnih procesa, primjena adekvatnih i primjerenih organizacijskih i tehničkih mjera, a dokumentacija je samo posljedica toga." - prokomentirao je navedeni slučaj za rep.hr GDPR konzultant Nandino Lončar.
