في 21 كانون الثاني (يناير) 2019 ،
فرضت اللجنة الوطنية الفرنسية لتكنولوجيا المعلومات وحقوق الإنسان (CNIL) على Google مبلغًا قيمته 50 مليون يورو مقابل "نقص الشفافية والمعلومات السيئة وعدم وجود موافقة صالحة" عند معالجة واستخدام بيانات المستخدمين الشخصية لعرض الإعلانات المخصصة.
فرض غرامة كبيرة كان نتيجة التحقيق. بدأ كل شيء بحقيقة أنه في 25 و 28 مايو 2018 ، تلقت CNIL شكاوى جماعية من جمعيات حقوق الإنسان "لا شيء من عملك" (NOYB) و La Quadrature du Net (LQDN) ، والتي تمثل مصالح أكثر من 10000 شخص. في هاتين الشكويين ، اتهمت الجمعيات Google بعدم وجود إطار قانوني مناسب لمعالجة البيانات الشخصية للمستخدمين ، بما في ذلك تخصيص الإعلانات.
في الأول من يونيو عام 2018 ، وفقًا لأحكام التعاون الأوروبي التي أنشأها مجلس الإنماء والإعمار ، أرسل CNIL شكويين إلى زملائها الأوروبيين لتأكيد أن لديه الصلاحية للنظر فيها. والحقيقة هي أنه في الاتحاد الأوروبي هناك آلية "محطة واحدة". تحتاج أولاً إلى تحديد البلد الذي توجد فيه "المؤسسة الرئيسية" للمدعى عليه. وفقًا لذلك ، ستصبح الهيئة القانونية للاتحاد الأوروبي من هذا البلد هي الهيئة "الرائدة" في النظر في هذه القضية. قبل اتخاذ القرار ، يجب على منسق العملية التنسيق مع السلطات الوطنية الأخرى لحماية البيانات.
يقع المقر الرئيسي لشركة Google في أيرلندا. ومع ذلك ، في هذه الحالة ، في وقت المراجعة ، اتضح أن المكتب الأيرلندي لم يكن لديه سلطة اتخاذ القرارات بشأن الإجراءات المنفذة بموجب نظام التشغيل Android والخدمات التي تقدمها Google LLC فيما يتعلق بإنشاء حساب مستخدم عند إعداد الهاتف المحمول.
نظرًا لأن نظام النافذة الواحدة غير قابل للتطبيق ، فقد مُنحت لجنة CNIL الفرنسية سلطة اتخاذ القرارات المتعلقة بـ Google LLC. فعلت ذلك من خلال تطبيق
لائحة حماية البيانات الأوروبية الجديدة
(GDPR) .
وفقًا لمعدل الناتج المحلي الإجمالي ، يتم تحديد مبلغ الغرامة لشركة ما بما يتناسب مع الجريمة المرتكبة. من الممارسات المعتادة في الاتحاد الأوروبي في حالة حدوث انتهاكات متكررة بشأن نفس القضية زيادة في الغرامة. يمكن أن تزيد بسرعة ، لذلك تميل معظم الشركات إلى حل المشكلة بسرعة. كل تفاعل مع وكالات حماية البيانات يحدث بنفس الطريقة: تحذير ، جيد ، زيادة في الغرامة. الحد الأقصى للغرامة هو 20 مليون يورو أو
4٪ من المبيعات السنوية للسنة المالية السابقة للشركة ، أيهما أكبر. تم تطبيق الحد الأقصى للعقوبة لضمان عدم تجاهل العمالقة مثل Facebook و Google القانون ، ببساطة دفع غرامة واستمرار الممارسة السابقة. على سبيل المثال ، بسبب انتهاك التشريع الروسي بشأن تخزين البيانات الشخصية ،
يواجه Facebook و Twitter الآن
غرامة تصل إلى 5000 روبل .
من أجل التعامل مع الشكاوى ، في سبتمبر 2018 ، أجرت CNIL عملية تدقيق عبر الإنترنت. كان الهدف هو التحقق من الامتثال لقانون الناتج المحلي الإجمالي عن طريق تحليل تصرفات المستخدم والوثائق التي يمكنه الوصول إليها من خلال إنشاء حساب Google عند إعداد هاتفه المحمول لنظام Android.
كشفت المراجعة عن صفين من انتهاكات إجمالي الناتج المحلي.
الانتهاك الأول:
عدم الامتثال لالتزامات ضمان الشفافية والمساءلة. بالنسبة للمستخدمين ، كان من الصعب الوصول إلى المعلومات الأساسية التي كانت الشركة ملزمة بإحضارها إليها وفقًا لمعدل الناتج المحلي الإجمالي ، بما في ذلك:
- الأغراض التي تتم من خلالها معالجة البيانات ؛
- فترة الاحتفاظ بالبيانات.
تم توزيع فئات البيانات المستخدمة لتخصيص الإعلانات عبر عدة مستندات تحتوي على أزرار وروابط منفصلة لمزيد من المعلومات. وبالتالي ، لا تتوفر المعلومات ذات الصلة إلا بعد بضع خطوات ، وتتطلب في بعض الأحيان ما يصل إلى خمسة أو ستة إجراءات من المستخدم. إلى أقصى حد ، يتم إخفاء المعلومات حول جمع المعلومات لتخصيص الإعلانات أو تحديد الموقع الجغرافي عن الأشخاص. بالإضافة إلى ذلك ، المعلومات المقدمة ليست واضحة دائما.
ونتيجة لذلك ، لا يستطيع المستخدمون فهم مدى المراقبة التي تثبتها Google ، على الرغم من أن هذه الطرق "ضخمة بشكل خاص ومتطفلة بسبب عدد الخدمات المقدمة (حوالي 20) ، وكمية وطبيعة البيانات المُجمَّعة والمُجمَّعة" ، وفقًا للوكالة الفرنسية.
يجعل Google من غير الواضح للمستخدمين أن الموافقة الصريحة للشخص مطلوبة لجمع البيانات. يبدو أن Google لها الحق الكامل في جمع البيانات الشخصية ، ولا يلزم موافقة المستخدم.
الانتهاك الثاني:
عدم الامتثال لمتطلبات وجود أساس قانوني لمعالجة تخصيص الإعلانات . أقرت اللجنة بالإبلاغ غير المرضي وعدم موافقة المستخدم الصحيحة على معالجة البيانات لاستهداف الإعلانات.
معلومات حول الإجراءات "لا تسمح للمستخدم بإدراك الحجم". على سبيل المثال ، لا يتحدث قسم "تخصيص الإعلانات" عن العديد من الخدمات والمواقع والتطبيقات المرتبطة بمعالجة البيانات (بحث Google و Youtube و Google Maps و Play Store و Google Photo وما إلى ذلك) ، وبالتالي حجم البيانات المُجمَّعة والمُجمَّعة . أظهرت التجربة أيضًا أن الموافقة التي تم الحصول عليها ليست "محددة" و "لا لبس فيها".
ونتيجة لذلك ، تم التوصل إلى استنتاج حول انتهاك مستمر لمعايير الناتج المحلي الإجمالي. "هذه هي المرة الأولى التي تطبق فيها CNIL الحد الأقصى للعقوبة المنصوص عليها في اللائحة العامة لحماية البيانات" ، قال تقرير CNIL.