Blogs

AVG: Franse toezichthouder CNIL deelt boete van 50 miljoen uit aan Google

25/01/19 Bekijk reacties Verwachte leestijd: 7 minuten

Op 21 januari 2019 heeft de Franse autoriteit voor gegevensbescherming, de Commission Nationale de L’Informatique et de Libertés (CNIL) een boete opgelegd aan Google. Het CNIL is de Franse variant van de Nederlandse Autoriteit Persoonsgegevens (AP).

Op 25 en 28 mei 2018 heeft het CNIL twee klachten ontvangen van de organisaties None Of Your Business (NOYB) en La Quadrature du Net (LQDN). De twee organisaties verwijten Google dat zij geen rechtmatige grondslag heeft voor de verwerking van de persoonsgegevens van de gebruikers van haar diensten, met name op het gebied van gepersonaliseerde advertenties.

De bevindingen van het CNIL

Naar aanleiding van de uitgevoerde onderzoeken heeft het CNIL twee soorten inbreuken op de AVG geconstateerd. Schending van de informatieverplichting (lees: een onduidelijk en onvolledig privacystatement). En het ontbreken van een geldige grondslag (hier: toestemming) voor het verwerken van bepaalde persoonsgegevens.

1.Schending van de verplichtingen van transparantie en informatie:

De AVG vereist dat gebruikers in heldere en begrijpelijke taal worden geïnformeerd over de verwerking van persoonsgegevens. In die informatie moet bijvoorbeeld worden vastgelegd wat voor persoonsgegevens worden verwerkt en met welk doel.

Het CNIL oordeelt dat de informatie die door Google wordt verstrekt, niet gemakkelijk toegankelijk is voor gebruikers. De algemene structuur van de door Google gekozen informatie maakt het niet mogelijk om aan de AVG te voldoen. Essentiele informatie, die volgens de AVG moet worden verstrekt zoals de doeleinden van gegevensverwerking, bewaartermijnen of categorieën van persoonsgegevens die worden gebruikt voor gepersonaliseerde advertenties, wordt verspreid over verschillende documenten. Bovendien allemaal met knoppen en koppelingen waarop moet worden geklikt om toegang te krijgen tot de aanvullende informatie. De essentiële informatie is pas na meerdere stappen toegankelijk, soms betekent dit dat wel 5 of 6 stappen ondernomen moeten worden. Ook oordeelt het CNIL dat de informatie niet altijd duidelijk en/of volledig is.

Het CNIL vindt dat gebruikers de omvang van de verwerkingen van persoonsgegevens die Google uitvoert niet volledig kunnen begrijpen. Daarbij komt dat die verwerkingsactiviteiten bijzonder groot en opdringerig zijn vanwege het aantal aangeboden diensten, de hoeveelheid en de aard van de verwerkte en gecombineerde gegevens. De doeleinden van de verwerking worden op een te algemene en vage manier beschreven en is niet duidelijk genoeg. Dit geldt ook voor de categorieën gegevens die voor deze verschillende doeleinden worden verwerkt. Het is voor de gebruiker niet duidelijk, dat zijn toestemming de grondslag voor de verwerkingshandelingen voor de gepersonaliseerde advertenties is. Ten slotte is geconstateerd dat voor sommige persoonsgegevens geen informatie over de bewaartermijn is verstrekt.

2. Schending van de verplichting om een rechtmatige grondslag te hebben voor de verwerking van persoonsgegevens voor het aanbieden van gepersonaliseerde advertenties:

Verwerking van persoonsgegevens is gezien de AVG alleen toegestaan als er een rechtmatige grondslag voor is, bijvoorbeeld toestemming.

Google heeft verklaard dat het de toestemming van de gebruiker verkrijgt om gegevens te verwerken voor gepersonaliseerde advertenties. Het CNIL is van mening dat de toestemming om twee redenen niet geldig wordt verkregen.

Ten eerste worden gebruikers niet duidelijk geïnformeerd, waardoor het voor hen niet duidelijk is waarvoor zij toestemming geven. De informatie over de verwerkingsprocessen voor de gepersonaliseerde advertenties is namelijk verspreid over verschillende documenten. Dit maakt het moeilijk voor de gebruikers om op de hoogte te zijn van de omvang van die informatie.

Ten tweede is de toestemming niet “specifiek” of “ondubbelzinnig”. Als een account wordt aangemaakt, kan de gebruiker weliswaar enkele aan het account gekoppelde opties wijzigen. Het is ook mogelijk om de weergave van gepersonaliseerde advertenties te configureren. Maar volgens het CNIL betekent dat niet dat in overeenstemming met de AVG wordt gehandeld. Dit komt vooral door het feit dat de toestemming voor weergave van de gepersonaliseerde advertenties vooraf is aangevinkt. Volgens de AVG is toestemming namelijk alleen “ondubbelzinnig” als daarvoor een duidelijke positieve actie van de gebruiker nodig is.

Ten slotte overweegt het CNIL dat de gebruiker voor het aanmaken van een account, door het aanklikken van een vinkje, wordt gevraagd om akkoord te gaan met de Servicevoorwaarden en het Privacybeleid van Google. Daarmee geeft de gebruiker zijn toestemming in één keer voor alle verwerkingsdoeleinden die Google op basis van deze toestemming uitvoert. Volgens het CNIL is een dergelijke toestemming, die veel verschillende verwerkingsdoeleinden moet omvatten, onvoldoende specifiek.

De boete

Het CNIL legt een boete op aan Google van € 50.000.000,00. Het is voor het eerst dat het CNIL de nieuwe sanctielimieten toepast, zoals die gelden onder de AVG. Het vastgestelde bedrag en de bekendmaking van de geldboete worden volgens het CNIL gerechtvaardigd door de ernst van de geconstateerde inbreuken met betrekking tot de essentiële beginselen van de AVG, te weten: transparantie, informatie en toestemming.

Ondanks de maatregelen die door Google zijn geïmplementeerd, ontnemen de geconstateerde inbreuken de gebruikers essentiële garanties met betrekking tot verwerkingsprocessen die belangrijke delen van hun privéleven kunnen onthullen. Ze zijn namelijk gebaseerd op een enorme hoeveelheid gegevens en een breed scala aan diensten.

Daarbij overweegt het CNIL dat het hier niet gaat om een eenmalige inbreuk. Google verwerkt op het moment van deze beslissing nog steeds persoonsgegevens van gebruikers voor het maken van gepersonaliseerde advertenties, zonder voldoende te informeren en zonder geldige toestemming. Daarmee handelt Google in feite dus continu in strijd met de AVG.

Tot slot wijst het CNIL nog op de belangrijke plaats die het besturingssysteem Android op de Franse markt inneemt. Duizenden Fransen creëren dagelijks een Google-account bij het gebruik van hun smartphone. Daarbij wijst het CNIL nog op het feit dat het economische model van Google deels is gebaseerd op gepersonaliseerde advertenties. Juist daarom is het van groot belang dat Google aan haar verplichtingen voortvloeiend uit de AVG voldoet.

Slot

Deze beslissing van de Franse toezichthouder is om een aantal redenen van belang. Allereerst legt het CNIL duidelijk uit waarom Google naar haar oordeel in strijd handelt met de AVG. In de tweede plaats omdat het CNIL duidelijk maakt dat dit in het geval van Google misschien wel extra verwijtbaar is, gezien haar marktpositie en economische model. En in de derde plaats gezien de hoogte van de boete. Voor de inwerkingtreding van de AVG was er vooral veel aandacht voor de hoogte van de mogelijke boete. Deze beslissing laat zien dat de privacytoezichthouders ook niet schuwen om dergelijke boetes op te leggen.

Google heeft inmiddels aangegeven dat zij in hoger beroep gaat tegen de boete van het CNIL.

Twijfelt u of u bij de verwerking van persoonsgegevens aan de AVG voldoet of heeft u naar aanleiding van het vorenstaande nog vragen, neem dan contact met op met onze privacyrecht specialisten.

Het persbericht van de beslissing van het CNIL vindt u hier.

Wilt u op de hoogte gehouden worden van nieuws op het gebied van privacyrecht? U kunt zich onderaan op deze pagina, in de footer, inschrijven.

 

Plaats zelf een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Terug naar alle blogs