25 maja 2018 roku zaczęło obowiązywać RODO – unijne ogólne rozporządzenie o ochronie danych, które pozwala organom zajmującym się ochroną danych osobowych nakładać kary w wysokości nawet 20 mln euro lub 4% ogólnoświatowego obrotu z poprzedniego roku obrotowego firmy. Już od chwili uchwalenia nowego prawa (kwiecień 2016) było jasne, że prędzej czy później wysoka kara zostanie nałożona na jednego z dużych graczy na rynku usług w internecie. Faworytem do wysokiej kary był jednak Facebook, który zamieszany był w aferę Cambridge Analytica.
Francuski organ (CNIL) rozpatrywał skargę złożoną na GOOGLE LLC (dalej: „Google") przez dwa stowarzyszenia walczące o prawa jednostek, przy czym skarga została złożona w imieniu ok. 10 tysięcy osób fizycznych już w maju 2018 roku. Podstawowym zarzutem był brak ważnej podstawy prawnej do przetwarzania danych osobowych na potrzeby personalizacji reklam dla poszczególnych osób, jednakże w toku postępowania organ zauważył kolejne uchybienia.
Urządzenia z Androidem powodem nałożenia kary
W toku czynności CNIL kontaktował się irlandzkim organem nadzorczym w celu ustalenia, który z tych organów będzie właściwy do przeprowadzenia postępowania, a następnie po ustaleniu, że właściwość pozostaje przy organie francuskim, we wrześniu 2018 roku przeprowadzone zostały inspekcje. Jednym z przedmiotów zainteresowania francuskich kontrolerów była ścieżka zakładania konta Google na urządzeniach z systemem operacyjnym Android oraz dokumenty i informacje dostępne dla nowych użytkowników. Na podstawie tak przeprowadzonych czynności kontrolerzy ustalili dwa rodzaje naruszeń.
Naruszenie obowiązków informacyjnych
Francuski organ podkreślił, że informacje przedstawiane przez Google nie są łatwo dostępne oraz jasne dla użytkowników. Jak wynika z komunikatu prasowego, informacje wymagane przez RODO są rozproszone w wielu różnych dokumentach i informacjach, a dodatkowo aby do nich dotrzeć należy kliknąć w odpowiedni link. Informacje, które w myśl nowego prawa powinny być łatwo dostępne można było uzyskać dopiero po 5 lub 6 kliknięciach, co jest naruszeniem obowiązku administratora danych. Dodatkowo organ zauważył, że informacje nie są przedstawione w sposób przejrzysty i zrozumiały, a w odniesieniu do niektórych rodzajów danych nie został wskazany okres przechowywania danych.
Nieprawidłowe zgody
W toku działań kontrolnych ujawniono, że zgody na personalizację reklam, zebrane przez Google nie są prawidłowe z dwóch względów. Po pierwsze, informacje o zakresie zgody były niewystarczające oraz rozproszone w kilku różnych dokumentach. Jako przykład wskazano, że z dokumentu wprost odnoszącego się do personalizacji reklam nie wynikała mnogość aplikacji i serwisów, które brały udział w tym procesie przetwarzania danych (m. in.: wyszukiwarka Google, YouTube, Mapy Google, Sklep Google).