Noll
Den första stora böter i enlighet med Europeiska Unionens Allmänna uppgiftsskyddsförordningen (GDPR) har äntligen kommit – en €50 m bra för Google från den franska dataskyddsmyndigheten, CNIL.
CNIL, sade den fina var för att bryta GDPR s regler kring öppenhet och att ha en giltig rättslig grund vid behandling av personuppgifter i marknadsföringssyfte.
Detta är den i särklass största fint att införas hittills enligt den nya EU-omfattande sekretess lagen, som har varit i kraft under åtta månader. Det tidigare rekordet var en €400,000 böter på portugisiska sjukhus.
Den fina följande klagomål från sekretess aktivister i slutet av Maj förra året. Max Schrems och hans Ingen Av Ditt Företag (NOYB) icke-vinst hade varit först av block, klagomål mot Google och Facebook minuter efter GDPR trädde i kraft den 25: e Maj. Den franska digital rights group La Quadrature du Net också klagomål om Google ett par dagar senare.
Både Google klagomål var i huvudsak om att “tvingas samtycke” – de anklagade Google för att den saknar en sund rättslig grund för behandling av personuppgifter, eftersom det railroaded dem till att samtycka till en behandling som de inte förstår.
“Vi är mycket glada över att för första gången en Europeisk dataskyddsmyndighet är att använda de möjligheter GDPR att straffa ett klart brott mot lagen,” sade Schrems i ett uttalande.
“Efter införandet av GDPR vi har funnit att stora företag såsom Google för att bara tolka lagen på olika sätt och har ofta endast ytligt anpassat sina produkter. Det är viktigt att myndigheterna gör det tydligt att bara anspråk på att vara kompatibel är inte tillräckligt”, sade han.
Google berättade ZDNet i ett uttalande: “Folk förväntar sig en hög standard av insyn och kontroll från oss. Vi är djupt engagerade i att uppfylla dessa förväntningar och krav på medgivande av GDPR. Studerar vi beslutet att avgöra vår nästa steg.”
CNIL tog ledningen på den utredning som grund, medan Google: s huvudkontor i Irland, det har ingen beslutanderätt när det gäller hur Google hanterar personuppgifter. För att anledningen, den fina faktiskt riktade Google LLC, i USA.
I September förra året, den franska regleringsmyndigheten studerat den information som görs tillgänglig för användare när de skapar ett Google-konto på en ny Android-telefon.
Användare som gör detta presenteras med mycket av den information som krävs enligt GDPR – om ändamål för behandling av uppgifter, datalagring perioder och kategorier av personuppgifter – men informationen är “överdrivet spridas över flera dokument, med knappar och länkar på vilka det är som krävs för att klicka för att få tillgång till kompletterande information” CNIL, sade i ett uttalande.
“Den relevanta information som är tillgänglig efter att i flera steg, vilket innebär ibland upp till 5 eller 6 åtgärder,” CNIL sagt. “Detta är exempelvis fallet när en användare vill ha… fullständig information om hans eller hennes uppgifter samlas in för personalisering ändamål eller för geo-tracking service. Dessutom, [CNIL] konstaterar att vissa uppgifter inte alltid är tydliga och inte heller heltäckande.”
Regulatorn påpekade också att Google är “alltför allmänna och vaga” när du talar om för användare hur man kommer att använda sina data, och det finns också information saknas om hur länge uppgifterna ska lagras.
Slutresultatet är att Google inte har giltigt samtycke till behandling av deras uppgifter – samtycke är varken “särskilda” eller “entydig”, som GDPR kräver, CNIL, som sagt. Google har även pre-fästingar rutorna genom vilka människor är överens om att ad-anpassa.
CNIL tog också problem med det faktum att Google får användarnas data-bearbetning samtycke genom en catch-all “jag håller med om att Googles Användarvillkor” kryssrutan, inte genom finmaskig lådor att se till att användare förstår vad de får in.
Frankrike är maximalt skydd fina används för att vara en ren 150 000 euro, men det höjde denna till 3 miljoner euro i två år innan GDPR lagen trädde i kraft. Nu när de nya EU-regler är på plats, den högsta är €20 miljoner euro eller 4% av de globala årliga intäkter.
Google förälder Alfabetet inspelade $110,8 miljarder i intäkter för 2017, vilket innebär CNIL kunde ha teoretiskt träffa företag med böter på nästan 4 miljarder euro.
Den franska vakthund sade den satt fint på 50 miljoner euro i ljuset av hur allvarlig överträdelsen är. Det är inte slutet på historien. Om Google inte ändra sitt sätt, kan det ändå att slå till med ytterligare böter för bristande efterlevnad. I slutändan, GDPR makt handlar inte bara om ekonomiska påföljder, men att tvinga förändringar av affärsmodeller.
Relaterade Ämnen:
CXO
Digital Omvandling
Tech-Industrin
Smarta Städer
Cloud
0