50M-06І чому стягнення у 50 млн євро може стати доленосним прецедентом

За матеріалами Mind.ua

21 січня Національна комісія із захисту даних Франції (СNIL) повідомила на своєму сайті, що наклала штраф на Google за порушення Загального регламенту ЄС про захист даних (GDPR). Півроку знадобилося країнам ЄС для того, аби зробити якісний левел-ап у розмірах штрафів за недотримання даного нормативу. До цього штрафували в основному на 20 000–30 000 євро, а найбільший штраф склав 400 000 євро і стосувався госпіталю в Португалії. Але цей прецедент цікавий не стільки сумою штрафу, скільки жорсткістю підходів регулятора. Чому саме, спеціально для Mind пояснює акціонерний партнер Axon Partners Денис Береговий.

За що? Групові скарги на Google прилетіли до СNIL в той самий день, коли GDPR набрав чинності. Скаржники повідомляли про обробку Google персональних даних користувачів без належних підстав, зокрема, з метою створення персоналізованих рекламних пропозицій.

До уваги українських силовиків: перевірка проводилася онлайн, без обшуків, без вилучення серверів чи іншого видимого для бізнесу втручання. І так можна було.

За результатами перевірок СNIL виявили порушення двох вимог GDPR:

1. Прозорість та поінформованість користувачів про обробку персональних даних. Інформація про умови збору, обробки, зберігання персональних даних користувачів сервісів Google надто розпорошена і неструктурована – її необхідно шукати в різних документах, навіть якщо це стосується однієї й тієї ж мети обробки персональних даних. А формулювання мети обробки даних місцями надто абстрактні та загальні.

Комісія прискіпується не лише до змісту документів, а й до UX, тобто до того, де саме схований текст і чи зручно користувачу, якщо це не Шерлок Холмс, зрозуміти, які саме його персональні дані збирає Google. CNIL прямо вказує, що 5–6 дій, які користувач Google має вчинити, перш ніж одержати повну інформацію про зібрані дані для геотрекінгу чи персоналізації реклами – це забагато.

2. Відсутність належної згоди користувачів для обробки персональних даних з метою персоналізації реклами. Google, як і низка інших інтернет-компаній, під час збирання й обробки персональних даних багато в чому покладається на згоду користувачів.

У випадку з персоналізацією реклами Google був впевнений, що отримав згоду користувачів, бо, по-перше, при створенні Google-aкаунтів користувач погоджується з Політикою конфіденційності, а по-друге, Google має розділ «Ads personalization», де можна вимкнути цю функцію.

Штраф для «Корпорації добра»: що буде з Google та іншими за порушення GDPR
Так виглядає вікно налаштувань персоналізації реклами в Google-акаунті

Втім, CNIL так не вважає, оскільки інформація про персоналізацію реклами недостатньо чітко доноситься користувачам. Як приклад, Комісія стверджує, що відповідне вікно «Персоналізації» не містить інформації про всю множину Google-сервісів, які здійснюють збір і обробку персональних даних з цією метою (YouТube, Google search, Play Store, Google pictures, Gmail і т. д.), а отже, користувач не може усвідомити, в яких обсягах дані використовуються і як саме вони можуть комбінуватися.

Крім того, Комісія сумнівається, що важливі для користувача налаштування персоналізації реклами треба ховати під кнопку «More options».

Ну і звісно ж, вишенькою на торті з аргументів CNIL стали pre-ticked boxes (наперед проставлені «галочки»), які Google кмітливо проставили. І байдуже, що ці заборонені «галочки» (про що прямо вказано у Recital 32 до GDPR) – ледь не єдине, що ви могли знати про GDPR напевне. Ця інформація міститься хіба не у кожному матеріалі про Регламент, який видає пошук Google. Однак те, що «знає» Google, не обов’язково знає Google LLC.

У результаті описані порушення, на думку CNIL, коштують 50 млн євро, що наразі є рекордним штрафом за порушення GDPR. Звісно, що цей штраф має на меті стримати як Google, так і інші компанії від подібних порушень. Втім, максимальна санкція згідно з GDPR може бути значно вищою – за деякі порушення вона сягає 4% від річного обігу компанії. Не здивуємося, якщо умовний (а може, і реальний) Facebook поб’є рекорд пізніше цього року, і ми побачимо перші мільярдні штрафи.

Чому це важливо? СNIL –  найпрогресивніше у ЄС відомство щодо захисту персональних даних. Це вони першими у ЄС застосували штраф за порушення (а першими порушниками були Fidzup та Teemo). А ще СNIL відомий роз’ясненнями щодо застосовності Регламенту до систем на базі блокчейн-технології.

Так от, це рішення щодо Google надзвичайно важливе для розуміння того, як країни ЄС застосовуватимуть GDPR.

Отже, пройдемося по тексту рішення СNIL.

Чому Франція, а не Ірландія. Google працює в Європі через юридичну особу в Ірландії. Але справу порушив не ірландський, а французький регулятор. Відбулося це от чому.

Якщо рішення щодо обробки даних ухвалюються будь-де за межами ЄС, то діє one stop mechanism – куди скарга надійшла, той орган її і розглядає. Оскільки центр прийняття рішень про обробку даних Google знаходиться в США, а скарга вперше надійшла у Франції – то CNIL її і розглядав.

Тому якщо в українського бізнесу є компанія, скажімо, в Угорщині – сподіватися на те, що виключно угорські органи будуть вести GDPR-розслідування – не варто.

Дістали по шапці за передбачення поведінки. Формування цифрового профілю особи з метою передбачення її поведінки, вподобань тощо – це профайлінг. Хоч дана лексика прямо не використовується в рішенні CNIL, де-факто це перший випадок, коли орган персональних даних штрафує за незаконно здійснений профайлінг користувачів. Саме індустрія digital-реклами мала в першу чергу отримати санкції від ЄС, і ця справа – перша ластівка.

Одним з наслідків цього рішення мало би стати призупинення такого профайлінгу Google, адже користувачі сервісів не надали належної згоди на таку діяльність. Тобто поки Google не отримає належної згоди користувачів, він не мав би заробляти на продажу персоналізованої реклами. Чи вимагатиме CNIL повного зупинення операцій із зібраними з порушенням персональними даними – побачимо згодом.

Велосипед не винайшли. СNIL у своєму рішенні не додає чогось нового до GDPR – згода користувача має бути поінформована і однозначна, умови обробки даних мають бути зрозумілими і легко доступними для користувачів.

Втім, раніше бізнес дозволяв собі вільно трактувати ці вимоги, віддаючи перевагу своєму відчуттю прекрасного: «цей банер надто широкий – некрасиво», «у нас відваляться клієнти, якщо ми вимагатимемо проставити стільки відміток при реєстрації» і подібні репліки хоч раз, але мали звучати в компаніях, які займалися підготовкою до GDPR.

Наразі ж багатьом, хто вважав для себе питання GDPR-комплаєнсу вирішеним, варто перевірити, чи дійсно все в нормі. Бо GDPR-комплаєнс – не завдання, а процес.

Чому не варто ігнорувати Регламент? Тим бізнесам, які ігнорували питання GDPR (якщо він до них застосовний, звісно) , слід переглянути своє ставлення до цього аспекту.

Після таких показових процесів європейці ретельніше обиратимуть партнерів для обробки даних за межами ЄС. Нагадаємо: Україна все ще за межами ЄС.

А бізнеси, які знаходяться в ЄС, мають тепер чіткий сигнал – вимоги Регламенту треба не просто прочитати, а й виконувати: інвестувати в UX, розробку панелей керування персональними даними, налаштовувати ефективну комунікацію з тими, хто передає персональні дані на обробку. В іншому разі штраф знайдеться на компанію будь-якого розміру – зараз «вилка» накладених стягнень по ЄС становить від 4800 до 50 млн євро.

Ну а ще кажуть, що адаптація до вимог GDPR може збільшувати конверсію. New York Times відключили на території ЄС поведінковий таргетинг у зв’язку з GDPR і наростили таким чином доходи від реклами.