Francuski organ nadzorczy ds. ochrony danych osobowych (Commission nationale de l’informatique et des libertés, CNIL) nałożył w dniu 21 stycznia 2019 roku na amerykański koncern Google karę w wysokości 50 milionów euro. Kara ta związana była z naruszeniami przepisów GDPR. To najwyższa kara nałożona od czasu wejścia w życie rozporządzenia.
Kara na Google była rezultatem prowadzonego przez organ nadzorczy postępowania, wywołanego skargą którą złożyło kilka tysięcy osób fizycznych tuż po wejściu w życie unijnego rozporządzenia. Ich głównym zarzutem były nieprawidłowości związane z personalizacją reklam w witrynach prowadzonych przez internetowego giganta. W toku postępowania CNIL zwrócił uwagę jednak także na inne naruszenia, co łącznie zdecydowało o wysokości nałożonej kary. Stwierdzone nieprawidłowości dotyczyły bowiem także procedury zakładania konta Google na urządzeniach z systemem operacyjnym Android. W tym zakresie naruszenia dotyczyły przede wszystkim niejasnych i trudno dostępnych informacji, których przedstawienia wymagają przepisy GDPR. Chociaż Google przedstawiał w większości wymagane informacje, to były one rozproszone w wielu dokumentach, a zapoznanie się z nimi było dla użytkowników utrudnione. W niektórych przypadkach informacje były ponadto niekompletne i niezrozumiałe.
Francuski organ nadzorczy zwrócił także uwagę na procedurę wyrażania zgody na personalizację reklam i związane z tym profilowanie użytkowników. Formularze w tym zakresie były nieprecyzyjne, wskazywały bowiem ogólnie na przetwarzanie danych przez portal, bez jednoznacznego sprecyzowania zakresu i celu tych zgód. Zastrzeżenia CNIL wzbudził także zakres informacji udostępnianych przez Google przy wyrażaniu zgody. Były one bowiem niepełne, niejasne i rozproszone po różnych dokumentach zamieszczonych w różnych lokalizacjach. By zapoznać się z nimi użytkownik musiał wykazać dużo inicjatywy by wyszukać pełne dane. Informacja przedstawiana przez Google nie wskazywała także na to, że profilowanie przeprowadzane jest w celach związanych z działaniem różnych portali, w tym wyszukiwarki Google, YouTube czy Googlemaps.
Na wysokość kary złożył się trzy czynniki. Organ nadzorczy wskazał, że naruszenia miały istotne znaczenie i dotyczyły kluczowych obowiązków wynikających z GDPR, dotyczących spełniania obowiązków informacyjnych i warunków wyrażania zgody na przetwarzanie danych osobowych. Do dnia dzisiejszego Google nie zmienił ponadto swoich praktyk w tym zakresie. Ponadto o wysokości kary przesądziła masowość usług świadczonych przez korporację i powszechność stosowania świadczonych usług na rzecz osób fizycznych. Z tych powodów CNIL zdecydował się także na upublicznienie informacji o nałożeniu kary na swojej stronie internetowej. Na chwilę obecną nie wiadomo, czy Google odwoła się od decyzji CNIL i jak zakończy się ewentualne postępowanie. Wątpliwości budzi także możliwość wyegzekwowania ewentualnej kary, nałożonej na podmiot mający swoją siedzibę w Kalifornii.
