Francuski organ nadzorczy CNIL (Commission Nationale de l’Informatique et des Libertés, co można tłumaczyć jako Krajową Komisję Informatyki i Wolności) jest jedną z bardziej aktywnych instytucji tego typu w Europie. M.in. w pierwszym okresie „istnienia” RODO na stronie internetowej CNIL przedstawiono jedno z niewielu oficjalnych narzędzi (PIA Software) wspomagających proces oceny ryzyka naruszenia praw i wolności podmiotów danych (ochrony prywatności), czy też oceny skutków dla ochrony danych. Tym samym francuski organ nadzorczy stał się jednym z niewielu, który zaproponował jasną i czytelną metodę dokonywania takiej oceny. Dnia 21 stycznia br. francuski organ kolejny raz wysunął się przed szereg nakładając karę 50 mln euro na spółkę Google LLC.

Podstawą tej decyzji był przede wszystkim: brak przejrzystości w procesie przetwarzania danych osobowych użytkowników, brak wystarczających informacji na temat szczegółów przetwarzania danych osobowych oraz brak zgody użytkowników na personalizację reklam.

Brak zgody i przejrzystych informacji o przetwarzaniu danych

Przedmiotowa sprawa odnosiła się przede wszystkim do ochrony prywatności użytkowników systemu Android. W uzasadnieniu czytamy, że działania Google LLC pozbawiają użytkownika podstawowych gwarancji dotyczących operacji przetwarzania, a co za tym idzie operacje przetwarzania mogą ujawnić informacje także np. na temat życia prywatnego użytkowników. Wskazano, że domyślne ustawienia prywatności są niewystarczające, a w praktyce ciężko jest mówić o możliwości jakiejkolwiek kontroli nad własnymi danymi udostępnionymi Google LLC przez użytkowników systemu. Samo założenie konta powoduje wstępną personalizację reklam, a zgody stosowane w procesie rejestracji nie są wyraźnie przypisane do każdego celu przetwarzania. W skutek takiego działania, a także w skutek braku istotnych informacji na temat przetwarzania (np. brak informacji na temat wszystkich usług, serwisów, aplikacji i stron internetowych zaangażowanych po stronie Google w proces przetwarzania danych), użytkownik nie wie na jakie operacje wyraża zgodę.

Newsletter "Alerty RODO" - nie daj się zaskoczyć!

Wspomniany wyżej brak transparentności opisano m.in. jako ukrycie części informacji na temat czynności przetwarzania, gdzie użytkownik ma do nich dostęp dopiero po 5 lub 6 kolejnych wymaganych kliknięciach (zdaniem CNIL dotyczy to przede wszystkim danych zebranych w celu personalizacji, czy też usługi geolokalizacji).

Jak swojego rodzaju ciekawostkę warto mieć na uwadze powyższe informacje m.in. gdy zgadzamy się na pewne funkcjonalności nowości Google na polskim rynku, tj. polskiego wariantu Asystenta Google.

Wydaje się, że jak dotąd jest to najwyższa kara dla administratora danych, o której można mówić w kontekście RODO.

Przekładając całość sprawy na lokalny rynek warto zwrócić uwagę na formułowanie przez administratorów danych informacji na temat przetwarzania danych osobowych (tj. tzw. obowiązek informacyjny z art. 13 i 14 RODO). Istotne jest zadbanie o wszystkie szczegóły jakie powinny znaleźć się w takiej informacji, zadbanie o to, by informacja trafiła do osób, których dane przetwarzamy, jak i sformułowanie takiej informacji jasnym i prostym językiem. Zostało to podkreślone m.in. w motywie 39 preambuły RODO, lecz często możemy napotkać na informacje, które nie są sformułowane w tak jasny sposób.

Dlaczego informowanie o przetwarzaniu i uzyskanie zgody jest ważne

W przypadku zgód, które często są pomijane, warto zwrócić uwagę na liczne akcje marketingowe, które w wielu przypadkach powinny bazować na zgodzie podmiotów danych, ale w rzeczywistości taka zgoda nie została nigdy pozyskana.

Transparentność wydaje się być szczególnie istotna z punktu widzenia dostawców oprogramowania.

Ważny fragment

Jasne zasady przetwarzania danych osobowych stosowane np. w ramach urządzeń monitorujących lokalizację pracowników wykorzystujących auta służbowe powinny być przetwarzane tylko dla potrzeb właściwej organizacji pracy, pełnego wykorzystania czasu pracy oraz nadzoru nad właściwym użytkowaniem narzędzi pracy.

Stosowanie takiego oprogramowania nie może powodować przetwarzania danych dot. życia prywatnego pracownika, a ponadto takich danych nie wolno wykorzystać w innym celu, tj. np. do profilowania osób i określenia ich preferencji.

Zgodnie z informacjami publikowanymi co jakiś czas przez Urząd Ochrony Danych Osobowych, krajowy organ rozpoczął także swoje kontrole i w pierwszym etapie sprawdza sektor i rejestry publiczne, sektor medyczny, placówki oświatowe, jak i stosowanie monitoringu. Do Urzędu spłynęło także kilka tysięcy skarg od osób fizycznych, z czego sporą część odrzucono ze względów formalnych.  Na stronie Urzędu odnajdziemy także informacje o pierwszym „dużym” wycieku danych na polskim rynku, którym zajmuje się Urząd, tj. sprawą spółki Morele.net.

Porozmawiajmy o Twoich wyzwaniach

Świadczymy usługi w zakresie 50 mln euro kary. Pierwsza tak wysoka kara w związku z RODO?

Skontaktujemy się z Tobą w najbliższym dniu roboczym aby porozmawiać o Twoich potrzebach i dopasować do nich naszą ofertę.

Pole zawiera niedozwolone znaki

Poproś o kontakt

Niniejsza publikacja została sporządzona z najwyższą starannością, jednak niektóre informacje zostały podane w formie skróconej. W związku z tym artykuły i komentarze zawarte w „Newsletterze” mają charakter poglądowy, a zawarte w nich informacje nie powinny zastąpić szczegółowej analizy zagadnienia. Wobec powyższego Grant Thornton nie ponosi odpowiedzialności za jakiekolwiek straty powstałe w wyniku czynności podjętych lub zaniechanych na podstawie niniejszej publikacji. Jeżeli są Państwo zainteresowani dokładniejszym omówieniem niektórych kwestii poruszonych w bieżącym numerze „Newslettera”, zachęcamy do kontaktu i nawiązania współpracy. Wszelkie uwagi i sugestie prosimy kierować na adres jacek.kowalczyk@pl.gt.com.