Francuska nacionalna komisija za informatiku i slobode (CNIL), 21. januara 2019. godine, donela je odluku o kažnjavanju kompanije Google LLC u iznosu od 50 miliona evra zbog kršenja Opšte Uredbe o zaštiti podataka o ličnosti EU (GDPR).
Iako je u domaćoj javnosti u prethodnom periodu objavljen veliki broj naslova u vezi ove odluke, ono što nije bilo u dovoljnoj meri razmatrano jeste na koji način je Google u konkretnom slučaju prekršio odredbe GDPR-a i kakav značaj takva odluka može imati za srpske kompanije koje potpadaju pod primenu GDPR-a, kao i na ostale domaće kompanije u svetlu novog Zakona o zaštiti podataka o ličnosti.
Naime, nakon što je izvršio online inspekciju obrade podataka, CNIL je ustanovio dve grube povrede GDPR-a od strane Google-a.
Kršenje obaveza u pogledu transparentnosti i informacija
CNIL je utvrdio da informacije koje je Google, kao rukovalac, pružio svojim korisnicima, nisu bile u dovoljnoj meri pristupačne.
Pre svega, informacije koje se odnose na svrhu obrade podataka i rok čuvanja ličnih podataka su bile rasprostanjene u nekoliko dokumenata, sa poljima i linkovima na koje je bilo neophodno pojedinačno kliknuti nekoliko puta. To praktično znači da su korisnici morali da preduzmu nekoliko koraka da bi dobili informacije koje se tiču obrade njihovih ličnih podataka.
Sa druge strane, korisnici nisu bili u mogućnosti da u potpunosti sagledaju obim obrade, i to kao posledica kombinacije velikog broja usluga koje se pružaju korisniku i velikog broja podataka koji se obrađuju. CNIL je našao da su svrhe obrade i kategorija podataka koje se obrađuju opisani na previše neodređen i generičan način.
Nepostojanje zakonskog osnova za obradu podataka u svrhu personalizovanog reklamiranja (ads personalization)
CNIL je dalje utvrdio da pristanak koji je Google pribavio za obradu u svrhu personalizovanog reklamiranja (ads personalization) nije zakonit iz dva razloga.
Kao prvi razlog CNIL navodi da pristanak korisnika nije bio dovoljno informisan. Informacija za obradu u svrhu personalizovanog reklamiranja je razvodnjena u nekoliko dokumenata i ista nije omogućavala korisnicma upoznavanje sa punim obimom obrade njihovih podataka, i to pre svega u pogledu broja web sajtova i aplikacija koji su uključeni u obradu podataka u navedene svrhe.
Kao drugi razlog, CNIL je istakao da pristanak korisnika nije bio konkretan i nedvosmislen, kako to GDPR izričito zahteva (Recital 32).
Naime, CNIL je našao da činjenica da, nakon kreiranja Google naloga, korisnici mogu da vrše modifikacije u pogledu personalizovanog reklamiranja, ne znači da je Google postupio u skladu sa odredbama GDPR-a. Ovo posebno imajući u vidu da su pre kreiranja naloga opcije pristanka za ads personalization unapred štiklirane, što je suprotno GDPR-u shodno kojem pristanak mora biti nedvosmislen.
Pored toga, pre kreiranja Google naloga, od korisnika je, između ostalog, zatraženo da kliknu polje „I agree to the processing of my information as described above and further explained in the Privacy Policy“, čime su korisnici jednim pristankom dali svoju saglasnost za obradu podataka u sve svrhe, što je suprotno GDPR-u, shodno kojem pristanak mora biti konkretan, dat odvojeno za svaku konkretnu svrhu obrade.
Značaj ove odluke za srpske kompanije koje obrađuju lične podatke
Ovakva odluka francuskog nadzornog tela bi svakako trebalo da bude pažljivo razmotrena, kako od strane srpskih kompanija koje potpadaju pod primenu GDPR-a, tako i od strane ostalih domaćih kompanija koje će od 21. avgusta 2019. godine obrađivati lične podatke u skladu sa novim Zakonom o zaštiti podataka o ličnosti u kojem su inkorporisani svi instituti propisani GDPR-om.
Što se tiče domaćih kompanija koje potpadaju pod primenu GDPR-a, odnosno koje obrađuju lične podatke lica iz EU na način i pod uslovima propisanim GDPR-om, ovakva odluka šalje jasnu poruku o neophodnosti usklađivanja obrade podataka sa GDPR-om, ako to već do sada nije učinjeno.
Iako je prilikom donošenja odluke o visini novčanog kažnjavanja Google-a CNIL imao u vidu masovnost obrade podataka, budući da veliki broj građana Francuske ima otvorene Google naloge, to ne znači da će manji rukovaoci i obrađivači, sa manjim obimom obrade podataka proći „ispod radara“ nadzornih organa iz EU. Uostalom, čak i višestruko manje kažnjavanje može imati teške posledice za manje kompanije u odnosu na Google kojem ovakva odluka, imajući u vidu njegov svetski godišnji prihod, neće bitnije ugroziti poslovanje.
Sa druge strane, za domaće kompanije koje obrađuju lične podatke ali na koje se ne primenjuje GDPR, postoji olakšavajuća okolnost da novi Zakon o zaštiti podataka o ličnosti ne propisuje tako drastične novčane kazne kao GDPR. Međutim, novi zakon predviđa za lica čiji se prodaci obrađuju sva pravna sredstva propisana GDPR-om, tako da nezakonita obrada, pored direktnih finansijskih, može imati i negativne reputacione posledice za rukovaoce i obrađivače koji krše ovaj zakon.
Autor: Petar Mijatović, Attorney at Law
Be the first to comment