Как пишет The Verge, Google стала первой крупной технологической компанией, оштрафованной за нарушение GDPR, а назначенный ей штраф – максимальным за недолгое время действия Регламента.
Поводом для штрафа послужили две жалобы, поданные некоммерческими организациями None Of Your Business’ (noyb) и La Quadrature du Net, пишет TechCrunch. Претензии к Google, повлекшие за собой штраф, связаны с настройкой пользователями новых Android устройств и делятся на две части: первая касается непрозрачности информирования, а вторая – получения согласия пользователей на различные действие.
Как пояснили в CNIL, первая часть претензий связана с тем, что информация о сборе, хранении, обработке и использовании Google данных пользователя распределена по нескольким документам. Например, если пользователь хочет узнать, как компания использует его данные для персонализации рекламных объявлений, ему потребуется сделать 5-6 переходов между документами. По мнению представителей CNIL зачастую пользователям слишком сложно понять суть этой информации – Google намеренно использует недостаточно четкие формулировки.
Что же касается второй части претензий, то они связаны с тем, что Google сознательно подталкивает пользователей новых Android-устройств к тому, чтобы войти в свой аккаунт или завести новый, мотивируя это тем, что в противном случае использовать устройство будет менее удобным. По мнению CNIL, Google необходимо разделить процессы входа в аккаунт или его создания и первоначальной настройки устройства, поскольку текущая практика нарушает GDPR.
Если в этой ситуации пользователь решит создать новый аккаунт, то ему будет предложено принять или отклонить несколько настроек без объяснения их сути. Например, спрашивая разрешение на показ персонализированной рекламы, компания не разъясняет, что выбор пользователя затронет множество сервисов компании, включая YouTube и Google Maps, а не только находящийся у него в руках смартфон. При этом по умолчанию пункт о персонализированной рекламе отмечен галочкой.
Также при создании новой учетной записи на устройствах по умолчанию стоит галочка возле пункта, где говорится о согласии пользователя на обработку его данных, "как описано выше и в Политике конфиденциальности". Столь общее согласие является еще одним нарушением GDPR.
Комментируя решение CNIL, представитель Google заявил, что компания "всецело привержена" соблюдению стандартов прозрачности и контроля, которого ожидают от нее пользователи. Также он пообещал, что Google изучит решение регулятора, чтобы определиться насчет дальнейших шагов.
Напомним, GDPR обязывает компании, которые используют персональные данные лиц, находящихся на территории ЕС, хранить эти данные в обезличенном и зашифрованном виде, обеспечивать их защиту от утечек, не передавать третьим лицам и информировать граждан и органы власти о любой утечке информации в течение 72 часов с момента ее обнаружения.
Регламент также гласит, что компании, чья деятельность подпадает под требования GDPR, должны предоставлять клиентам понятную информацию о правилах обработки их данных, брать согласие на обработку данных, а также предоставлять возможность отказаться от передачи данных без ущерба для совершения действий. Нарушителям требований GDPR грозит штраф в размере до 20 млн евро или 4% годового оборота. Таким образом, выписанный Google штраф можно назвать довольно скромным – потенциально компанию могли оштрафовать на несколько миллиардов долларов.
Google не единственная крупная технологическая компания, столкнувшаяся с обвинениями в нарушении GDPR. Ранее утечка данных 30 млн пользователей Facebook стала поводом для начала расследования в отношении соцсети, которой грозит штраф в 1,6 млрд долларов. Самой Google грозит еще один штраф за нарушение GDPR – в ноябре общества защиты прав потребителей из семи европейских стран подали местным регуляторам жалобы на компанию из-за практики Google по сбору данных о местоположении пользователей.