(Komentarz eksperta ODO 24)

Skargę na przetwarzanie przez Google danych osobowych bez podstawy prawnej w imieniu przeszło 10 tys. osób złożyły stowarzyszenia None Of Your Business oraz La Quadrature du Net. Po konsultacji z organami z innych krajów – w szczególności z Irlandii – CNIL uznał, że główna jednostka organizacyjna Google nie znajduje się w Europie, nie ma zatem zastosowania zasada „one stop shop”, wymagająca prowadzenia postępowania przez wiodący organ nadzorczy w państwie głównej siedziby administratora. Jako okoliczność przemawiającą za tym, że irlandzka siedziba Google nie jest główną jednostką organizacyjną, organ uznał fakt, iż nie decyduje ona o operacjach przetwarzania w ramach systemu operacyjnego Android i usług dostarczanych przez Google w odniesieniu do tworzenia konta podczas konfiguracji urządzenia. CNIL ocenił zatem operacje przetwarzania prowadzone przez administratora Google LLC z siedzibą w Moutain View w Kalifornii, dotyczące użytkowników konta Google we Francji i pozostawił tym samym możliwość wszczęcia analogicznych postępowań w pozostałych państwach członkowskich Unii Europejskiej.

Zdaniem CNIL spółka Google nie zrealizowała wymogów dotyczących przejrzystości oraz podstaw prawnych przetwarzania danych (zgody). CNIL uznał, iż naruszenia pozbawiały użytkowników podstawowych gwarancji dotyczących operacji przetwarzania opartych na wielkiej ilości danych, które mogą ujawnić ważne części ich życia prywatnego. Wymierzając karę Urząd wziął pod uwagę skalę przetwarzania danych (tysiące nowych kont dziennie) oraz fakt, że naruszenia występują w ramach ciągłego procesu, a nie pojedynczej, ograniczonej w czasie niezgodności. Obciążający był także fakt, że personalizacja reklam stanowi jedną z podstaw modelu biznesowego Google, w związku z czym realizacja obowiązków w tym zakresie stanowi „najwyższą odpowiedzialność” spółki.

Decyzja CNIL jest poważnym ostrzeżeniem także dla polskich administratorów. Unikać należy szczególnie łączenia zgód w ramach jednego oświadczenia. Ponadto administrator powinien upewnić się, czy udzielane informacje są nie tylko poprawne formalnie, ale także zapewniają najwyższy poziom zrozumienia i kontroli nad dotyczącymi ich danymi.

Autor: Paweł Mielniczek, Ekspert ds. ochrony danych, ODO 24.

