De Franse toezichthoudende autoriteit, la Commission Nationale de l'Informatique et des Libertés (CNIL), heeft aan Google een boete van maar liefst € 50 miljoen opgelegd wegens het overtreden van de GDPR, meer bepaald voor een gebrek aan transparantie, onvoldoende informatie aan de betrokkenen en voor het ontbreken van geldige toestemming voor het personaliseren van reclame. Wat dienen ondernemingen te onthouden uit deze beslissing van de CNIL?
Het onderzoek en de vastgestelde inbreuken
Na klachten van twee belangengroeperingen had de CNIL in september 2018 een Google-account aangemaakt bij het configureren van een mobiele telefoon met het Android-besturingssysteem. Daarbij werden twee inbreuken vastgesteld door de CNIL.
Onvoldoende transparantie en informatie
De CNIL stelt als eerste inbreuk vast dat essentiële informatie, zoals de doeleinden waarvoor de gegevens worden verwerkt, de duur van de bewaring van de gegevens of de categorieën van gegevens die worden gebruikt om reclame te personaliseren, te veel verspreid zijn in verschillende documenten, die knoppen en links bevatten die moeten worden aangeklikt om toegang te krijgen tot aanvullende informatie.
Relevante informatie, zo stelt de CNIL, is pas na een aantal stappen toegankelijk, soms met maximaal vijf of zes handelingen. Dit is bijvoorbeeld het geval als een gebruiker volledige informatie wil hebben over het verzamelen van zijn informatie voor het personaliseren van advertenties of voor geolokalisatie.
Bij het aanmaken van een Google-account zouden, volgens de CNIL, de doeleinden te algemeen en vaag zijn beschreven, evenals de gegevens die voor deze verschillende doeleinden worden verwerkt. De gebruiker zou daardoor niet in staat zijn om de omvangvan de door Google uitgevoerde verwerkingen te begrijpen. Deze zijn omvangrijk en ingrijpend vanwege het aantal aangeboden diensten (ongeveer twintig) en de hoeveelheid en aard van de verwerkte en gecombineerde gegevens.
Ongeldige toestemming
De tweede inbreuk heeft betrekking op de verkregen toestemming van de gebruiker voor het personaliseren van reclame. Volgens de CNIL is het bij het aanmaken van een Google-account niet duidelijk genoeg dat toestemming de wettelijke grondslag vormt in plaats van het gerechtvaardigd belang van Google. De CNIL stelt dat de toestemming, enerzijds, niet voldoende geïnformeerd is en, anderzijds, dat de verkregen toestemming niet specifiek en ondubbelzinnig is.
Onvoldoende geïnformeerd
De gebruiker wordt volgens de CNIL onvoldoende geïnformeerd over diens toestemming omdat de informatie verspreid is over verschillende documenten. Daardoor zou de gebruiker zich niet bewust zijn van de omvang van diens toestemming die slaat op een veelheid aan diensten, zoals Google search, Youtube, Google home, Google maps, Playstore, en Google photos.
Niet specifiek en ondubbelzinning
Bij het aanmaken van een Google-account kan de gebruiker een aantal parameters wijzigen, maar pas nadat de gebruiker op “meer opties” heeft geklikt vooraleer deze een account aanmaakt. Bovendien zijn de weergavemodi van gepersonaliseerde advertenties vooraf ingesteld, terwijl de GDPR een positieve handeling vereist van de gebruiker om te kunnen spreken van een specifieke en ondubbelzinnige toestemming.
Tot slot wordt de gebruiker, voordat hij een account aanmaakt, gevraagd om de vakjes "Ik accepteer de gebruiksvoorwaarden van Google" aan te vinken en "Ik ga ermee akkoord dat mijn informatie kan worden gebruikt zoals hierboven beschreven en in het privacybeleid" om diens Google-account aan te maken. Volgens de CNIL leidt een dergelijk proces ertoe dat de gebruiker zijn toestemming geeft voor alle doeleinden die Google nastreeft (personalisatie van reclame, spraakherkenning, enz.), terwijl toestemming alleen specifiek is als zij voor elk apart doel afzonderlijk wordt gegeven.
De bevoegdheid van de CNIL
Voordat de CNIL haar onderzoek inleidde, onderzocht ze eerst haar bevoegdheid. Eén van de voordelen van de GDPR voor ondernemingen, en dan vooral voor multinationals, is het zogenaamde one-stop shop mechanisme. Volgens dit mechanisme zijn ondernemingen, in het geval van grensoverschrijdende verwerkingen, enkel onderworpen aan de toezichthoudende autoriteit van hun hoofdvestiging in de EU. De bedoeling van het one-stop shop mechanisme is om tegenstrijdigheden tussen beslissingen van toezichthoudende autoriteiten te vermijden.
Zoals verschillende andere multinationals heeft Google een hoofdvestiging in Ierland. Dat zou betekenen dat enkel de Ierse toezichthoudende autoriteit bevoegd is voor grensoverschrijdende verwerkingen van Google in de EU. In principe zou de Ierse autoriteit dus de gesprekspartner van Google moeten zijn.
De CNIL stelt echter dat de Ierse vestiging geen beslissingsbevoegdheid had over de grensoverschrijdende verwerkingsactiviteiten van Google op het moment dat de CNIL haar procedure inleidde. Daarom is zij bevoegd, net zoals alle andere nationale toezichthoudende autoriteiten, aldus de CNIL.
Wat te onthouden?
Voor ondernemingen is het belangrijk om uit de beslissing van de CNIL te onthouden dat:
- Informatie niet mag worden verstopt in allerlei verschillende documenten, waarbij van de gebruiker een veelheid aan handelingen wordt verlangd om deze informatie samen te leggen;
- Indien er een beroep wordt gedaan op toestemming als wettelijke grondslag, deze geïnformeerd moet zijn, maar ook specifiek en ondubbelzinnig (voor elke doel afzonderlijk);
- Bedrijven waarvan het bedrijfsmodel gebaseerd is op het personaliseren van reclame een bijzondere verantwoordelijkheid hebben om de principes uit de GDPR, vooral wat betreft transparantie en informatie, strikt na te komen;
- Het schenden van deze basisprincipes kan leiden tot hoge administratieve boetes;
- Voor wat betreft de toepasselijkheid van het one-stop shop mechanisme, wordt gekeken naar het moment van het inleiden van de procedure door de toezichthoudende autoriteit.
Voorlopig valt het nog af te wachten hoe Google zal reageren op deze GDPR-boete, maar intussen kunt u hier de beslissing van de CNIL integraal lezen.