Штраф для «Корпорации добра»: что будет с Google и другими за нарушение GDPR
И почему взыскание в 50 млн евро может стать судьбоносным прецедентом
21 января Национальная комиссия по защите данных Франции (СNIL) сообщила на своем сайте, что наложила штраф на Google за нарушение Общего регламента ЕС о защите данных (GDPR). Полгода понадобилось странам ЕС для того, чтобы сделать качественный левел-ап в размерах штрафов за несоблюдение данного норматива. До этого штрафовали в основном на 20 000–30 000 евро, а самый большой штраф составил 400 000 евро и касался госпиталя в Португалии. Но этот прецедент интересен не столько суммой штрафа, сколько жесткостью подходов регулятора. Почему – специально для Mind объясняет акционерный партнер Axon Partners Денис Береговой.
За что? Групповые жалобы на Google прилетели в СNIL в тот же день, когда GDPR вступил в силу. Жалобщики сообщали об обработке Google персональных данных пользователей без надлежащих оснований, в частности, с целью создания персонализированных рекламных предложений.
Вниманию украинских силовиков: проверка проводилась онлайн, без обысков, без изъятия серверов или иного видимого для бизнеса вмешательства. И так можно.
По результатам проверок СNIL выявили нарушения двух требований GDPR:
1. Прозрачность и осведомленность пользователей об обработке персональных данных. Информация об условиях сбора, обработки, хранения персональных данных пользователей сервисов Google слишком рассеяна и структурирована – ее необходимо искать в различных документах, даже если это касается одной и той же цели обработки персональных данных. А формулировки цели обработки данных местами слишком абстрактные и общие.
Комиссия придирается не только к содержанию документов, но и к UX, то есть к тому, где именно спрятан текст и удобно ли пользователю, если это не Шерлок Холмс, понять, какие именно его персональные данные собирает Google. CNIL прямо указывает, что 5–6 действий, которые пользователь Google должен совершить, прежде чем получить полную информацию о собранных данных для геотрекинга или персонализации рекламы, – это многовато.
2. Отсутствие надлежащего согласия пользователей для обработки персональных данных с целью персонализации рекламы. Google, как и ряд других интернет-компаний, при сборе и обработке персональных данных во многом полагается на согласие пользователей.
В случае с персонализацией рекламы Google был уверен, что получил согласие пользователей, поскольку, во-первых, при создании Google-aккаунтов пользователь соглашается с Политикой конфиденциальности, а во-вторых, в Google есть раздел «Ads personalization», где можно выключить эту функцию.
Так выглядит окно настроек персонализации рекламы в Google-аккаунте
Впрочем, CNIL так не считает, поскольку информация о персонализации рекламы недостаточно четко доносится пользователям. В качестве примера Комиссия утверждает, что соответствующее окно «Персонализации» не содержит информацию обо всем множестве Google-сервисов, осуществляющих сбор и обработку персональных данных с этой целью (YouТube, Google search, Play Store, Google pictures, Gmail и т. д.), а значит, пользователь не может понять, в каких объемах данные используются и как они могут комбинироваться.
Кроме того, Комиссия сомневается, что важные пользовательские настройки персонализации рекламы надо прятать под кнопку «More options».
Ну и конечно же, вишенкой на торте из аргументов CNIL стали pre-ticked boxes (заранее проставленные «галочки»), которые Google ловко проставил. И неважно, что эти запрещенные «галочки» (о чем прямо указано в Recital 32 к GDPR) – едва ли не единственное, что вы могли знать о GDPR наверняка. Эта информация содержится разве что не в каждом материале о Регламенте, который выдает поиск Google. Однако то, что «знает» Google, не обязательно знает Google LLC.
В результате описанные нарушения, по мнению CNIL, стоят 50 млн евро, что на данный момент является рекордным штрафом за нарушение GDPR. Конечно, цель этого штрафа – сдержать как Google, так и другие компании от подобных нарушений. Впрочем, максимальная санкция, согласно GDPR, может быть значительно выше – за некоторые нарушения она достигает 4% от годового оборота компании. Не удивимся, если условный (а может, и реальный) Facebook побьет рекорд позднее в этом году, и мы увидим первые миллиардные штрафы.
Почему это важно? СNIL – прогрессивное в ЕС ведомство по защите персональных данных. Это они первыми в ЕС применили штраф за нарушение (а первыми нарушителями были Fidzup и Teemo). А еще СNIL известный разъяснениями относительно применимости Регламента к системам на базе блокчейн-технологии.
Так вот, это решение о Google чрезвычайно важно для понимания того, как страны ЕС будут применять GDPR.
Итак, пройдемся по тексту решения СNIL.
Почему Франция, а не Ирландия. Google работает в Европе через юридическое лицо в Ирландии. Но дело возбудил не ирландский, а французский регулятор. Произошло это вот почему.
Если решения по обработке данных принимаются где за пределами ЕС, то действует one stop mechanism – куда жалоба поступила, тот орган ее и рассматривает. Поскольку центр принятия решений об обработке данных Google находится в США, а жалоба впервые поступила во Франции –CNIL ее и рассматривал.
Поэтому если у украинского бизнеса есть компания, скажем, в Венгрии – надеяться на то, что исключительно венгерские органы будут вести GDPR-расследование, – не стоит.
Получили по шапке за предсказания поведения. Формирование цифрового профиля лица с целью предсказания его поведения, предпочтений и т. д. – это профайлинг. Хотя данная лексика прямо не используется в решении CNIL, де-факто это первый случай, когда орган персональных данных штрафует за незаконно осуществленный профайлинг пользователей. Именно индустрия digital-рекламы должна была в первую очередь получить санкции от ЕС, и это дело – первая ласточка.
Одним из последствий этого решения должно было стать приостановление такого профайлинга Google, ведь пользователи сервисов не предоставили должного согласия на такую деятельность. То есть пока Google не получит должного согласия пользователей, он не должен зарабатывать на продаже персонализированной рекламы. Потребует ли CNIL полной остановки операций с собранными с нарушением персональными данными – увидим позже.
Велосипед не изобрели. СNIL в своем решении не добавляет чего-то нового в GDPR – согласие пользователя должно быть проинформированным и однозначным, условия обработки данных должны быть понятными и легко доступными для пользователей.
Впрочем, ранее бизнес позволял себе свободно трактовать эти требования, отдавая предпочтение своему чувству прекрасного: «этот баннер слишком широкий – некрасиво», «у нас отвалятся клиенты, если мы будем требовать проставить столько отметок при регистрации» и подобные реплики хоть раз, но звучали в компаниях, которые занимались подготовкой к GDPR.
Теперь же многим, кто считал для себя вопрос GDPR-комплаенс решенным, стоит проверить, действительно ли все в норме. Потому что GDPR-комплаенс – не задача, а процесс.
Почему не стоит игнорировать Регламент? Тем бизнесам, которые игнорировали вопросы GDPR (если он к ним применим, конечно), следует пересмотреть свое отношение к этому аспекту.
После таких показательных процессов европейцы будут тщательно выбирать партнеров для обработки данных за пределами ЕС. Напомним Украины все еще вне ЕС.
А бизнесы, которые находятся в ЕС, получили четкий сигнал – требования Регламента надо не просто прочитать, но и выполнять: инвестировать в UX, разработку панелей управления персональными данными, настраивать эффективную коммуникацию с теми, кто передает персональные данные на обработку. В противном случае штраф найдется на компанию любого размера – сейчас вилка наложенных взысканий по ЕС составляет от 4800 до 50 млн евро.
Ну а еще говорят, что адаптация к требованиям GDPR может увеличивать конверсию. New York Times отключили на территории ЕС поведенческий таргетинг в связи с GDPR и нарастили таким образом доходы от рекламы.
Авторы материалов OpenMind, как правило, внешние эксперты и специалисты, которые готовят материал по заказу редакции. Но их точка зрения может не совпадать с точкой зрения редакции Mind.
В то же время редакция несёт ответственность за достоверность и соответствие реальности изложенной мысли, в частности, осуществляет факт-чекинг приведенных утверждений и первичную проверку автора.
Mind также тщательно выбирает темы и колонки, которые могут быть опубликованы в разделе OpenMind, и обрабатывает их в соответствии со стандартами редакции.
