Pada 21 Januari 2019, Komisi Nasional Teknologi Informasi dan Hak Asasi Manusia (CNIL) Prancis
mendenda Google € 50 juta karena "kurangnya transparansi, informasi yang buruk dan kurangnya persetujuan yang sah" ketika memproses dan menggunakan data pribadi pengguna untuk menampilkan iklan yang dipersonalisasi.
Pengenaan denda besar adalah hasil investigasi. Semuanya berawal dari fakta bahwa pada 25 dan 28 Mei 2018, CNIL menerima pengaduan kolektif dari asosiasi hak asasi manusia, None Of Your Business (NOYB) dan La Quadrature du Net (LQDN), mewakili kepentingan lebih dari 10.000 orang. Dalam dua keluhan ini, asosiasi menuduh Google tidak memiliki kerangka hukum yang sesuai untuk pemrosesan data pribadi pengguna, termasuk untuk mempersonalisasi iklan.
Pada tanggal 1 Juni 2018, sesuai dengan ketentuan tentang kerja sama Eropa yang didirikan oleh GDPR, CNIL mengirim dua keluhan kepada rekan-rekannya di Eropa untuk mengkonfirmasi bahwa ia memiliki kompetensi untuk mempertimbangkannya. Faktanya adalah bahwa di UE ada mekanisme “one-stop shop”. Pertama, Anda perlu menentukan di negara mana "institusi utama" terdakwa berada. Oleh karena itu, badan hukum UE dari negara ini akan menjadi badan "terkemuka" dalam pertimbangan kasus ini. Sebelum membuat keputusan, pemrakarsa proses harus berkoordinasi dengan otoritas perlindungan data nasional lainnya.
Kantor pusat Google di Eropa terletak di Irlandia. Namun, dalam kasus ini, pada saat peninjauan, ternyata kantor Irlandia tidak memiliki wewenang untuk membuat keputusan tentang prosedur yang dilakukan di bawah sistem operasi Android dan layanan yang disediakan oleh Google LLC sehubungan dengan pembuatan akun pengguna saat menyiapkan ponsel.
Karena sistem Single Window tidak berlaku, komisi CNIL Prancis diberi wewenang untuk mengambil keputusan mengenai Google LLC. Dia melakukan ini dengan menerapkan
Peraturan Perlindungan Data Eropa
(GDPR) baru .
Menurut GDPR , jumlah denda untuk perusahaan ditentukan secara proporsional dengan kejahatan yang dilakukan. Praktik khas Uni Eropa jika terjadi pelanggaran berulang pada masalah yang sama adalah peningkatan denda. Ini dapat meningkat dengan cepat, sehingga sebagian besar perusahaan cenderung cepat memperbaiki masalah. Setiap interaksi dengan lembaga perlindungan data berlangsung dengan cara yang sama: peringatan, baik, peningkatan baik. Denda maksimum adalah € 20 juta atau
4% dari omset tahunan untuk tahun keuangan sebelumnya untuk perusahaan, mana yang lebih besar. Hukuman maksimum diperkenalkan untuk memastikan bahwa raksasa seperti Facebook dan Google tidak mengabaikan hukum, hanya membayar denda dan melanjutkan praktik sebelumnya. Misalnya, karena melanggar undang-undang Rusia tentang penyimpanan data pribadi, Facebook dan Twitter sekarang
menghadapi denda hingga 5.000 rubel .
Untuk menangani keluhan, pada bulan September 2018, CNIL melakukan audit online. Tujuannya adalah untuk memverifikasi kepatuhan terhadap undang-undang GDPR dengan menganalisis tindakan dan dokumen pengguna yang dapat ia akses dengan membuat akun Google saat menyiapkan ponselnya untuk Android.
Audit mengungkapkan dua baris pelanggaran GDPR.
Pelanggaran pertama:
ketidakpatuhan terhadap kewajiban untuk memastikan transparansi dan akuntabilitas. Untuk pengguna, sulit untuk mengakses informasi dasar yang wajib dibawa oleh perusahaan sesuai dengan GDPR, termasuk:
- tujuan pemrosesan data;
- periode penyimpanan data.
Kategori data yang digunakan untuk mempersonalisasi iklan tersebar di beberapa dokumen yang memiliki tombol dan tautan terpisah untuk informasi lebih lanjut. Dengan demikian, informasi yang relevan tersedia hanya setelah beberapa langkah, dan kadang-kadang membutuhkan hingga lima atau enam tindakan dari pengguna. Sejauh maksimum, informasi tentang pengumpulan informasi untuk personalisasi iklan atau untuk geolokasi disembunyikan dari orang-orang. Selain itu, informasi yang diberikan tidak selalu jelas.
Akibatnya, pengguna tidak dapat memahami tingkat pengawasan yang dipasang oleh Google, meskipun metode ini “sangat masif dan mengganggu karena jumlah layanan yang ditawarkan (sekitar 20), jumlah dan sifat dari data yang diproses dan digabungkan,” agensi Prancis mengakui.
Google membuat tidak jelas bagi pengguna bahwa persetujuan eksplisit seseorang diperlukan untuk mengumpulkan data. Tampaknya Google memiliki hak penuh untuk mengumpulkan data pribadi, dan persetujuan pengguna tidak diperlukan.
Pelanggaran kedua:
kegagalan untuk mematuhi persyaratan dasar hukum untuk memproses personalisasi iklan Komisi mengakui bahwa informasi yang tidak memuaskan dan kurangnya persetujuan pengguna yang valid terhadap pemrosesan data untuk penargetan iklan.
Informasi tentang prosedur "tidak memungkinkan pengguna untuk menyadari skala." Misalnya, bagian "Personalisasi Iklan" tidak berbicara tentang banyak layanan, situs, aplikasi yang terlibat dalam pemrosesan data (pencarian Google, Youtube, Google Maps, Play Store, Foto Google, dan sebagainya) dan, oleh karena itu, volume data yang diproses dan digabungkan . Percobaan juga menunjukkan bahwa persetujuan yang diperoleh tidak "spesifik" dan "tidak ambigu".
Akibatnya, ditarik kesimpulan tentang pelanggaran konstan standar GDPR. "Ini adalah pertama kalinya CNIL menerapkan hukuman maksimum yang ditetapkan oleh peraturan perlindungan data umum," kata laporan CNIL.