Sankcijos už Bendrojo duomenų apsaugos reglamento reikalavimų pažeidimus virsta tikrove – pirmadienį interneto milžinė „Google“ nubausta 50 mln. eurų bauda. Tokią milžinišką baudą „Google LLC“ kompanijai skyrė Prancūzijos reguliatorius CNIL dėl asmens duomenų tvarkymo
Sankcijos už Bendrojo duomenų apsaugos reglamento (BDAR) reikalavimų pažeidimus virsta tikrove – pirmadienį interneto milžinė „Google“ nubausta 50 mln. eurų bauda. Tokią milžinišką baudą „Google LLC“ kompanijai skyrė Prancūzijos reguliatorius CNIL dėl asmens duomenų tvarkymo, rašoma pranešime žiniasklaidai.
Bauda skirta išnagrinėjus dviejų asociacijų skundus dėl neteisėto daugiau kaip 100 tūkst. vartotojų asmens duomenų tvarkymo. Labai reikšmingas faktas yra tai, jog bauda „Google“ skirta nepaisant to, jog kompanija buvo įgyvendinusi BDAR reikalavimus – t. y., turėjo ir naudojo dokumentus, nustatančius asmens duomenų valdymą, tvarkymą ir naudojimą, buvo įsidiegusi konfigūracijos įrankius. Baudos skyrimą lėmė asmens duomenų reikalavimų niuansų pažeidimai, ribojantys asmeninį vartotojo pasirinkimą.
„Šiuo pirmuoju milijoninės baudos akibrokštu Europos Sąjungos asmens duomenų apsaugos reguliacinės institucijos demonstruoja, jog nesitaikstys su formaliu požiūriu. Reguliatoriai baudomis mums primena, kad griežti reikalavimai yra ne tuščias pažadas, o labai rimtas atsakas į kintančią socialinę ir ekonominę realybę. Dabar vartotojų duomenų valdymas yra svarbus rizikos veiksnys kiekvienos įmonės veikloje, kur abstrakčių frazių ir formalių dokumentų nebepakaks“, – komentuoja advokatė Giedrė Domkutė, advokatų profesinės bendrijos „AAA Law“ vadovaujanti partnerė.
Ji priduria, kad pradedanti kilti baudų už asmens duomenų apsaugos reikalavimų pažeidimus banga ir kelių Europos šalių praktika rodo, kad BDAR keliami reikalavimai turi būti įgyvendinti griežtai pagal reglamento reikalavimus.
Tyrimo, pradėto dar praėjusių metų birželį metu nustatyta, kad informacija apie asmens duomenų tvarkymą „Google“ vartotojams nėra lengvai prieinama – ji „išmėtyta“ keliuose dokumentuose. Tai reiškia, jog tam, kad vartotojas išsamiai susipažintų su šia tvarka, turi atlikti 5 ar daugiau veiksmų.
Tyrimo metu nustatyta ir tai, kad nemaža dalis informacijos apie asmens duomenų tvarkymą vartotojams buvo pateikiama neaiškiai ir neišsamiai. Reguliatorius atkreipė dėmesį, kad „Google“ vartotojams nurodomi duomenų tvarkymo tikslai yra neaiškūs, apibendrinti pernelyg abstrakčiai ir suformuluoti taip, jog vartotojui gali susidaryti įspūdis, jog vartotojo duomenys reklamos personalizavimo tikslais tvarkomi ne vartotojo sutikimo pagrindu, o turint teisėtą įmonės interesą, nors šie du duomenų tvarkymo pagrindai ir jų tikslai yra visiškai skirtingi.
Be to, reguliatorius kaip netinkamą asmens duomenų tvarkymą įvardijo ir tą faktą, kad vartotojui nesudaroma galimybė savarankiškai pasirinkti, ar jis sutinka su reklamų personalizavimu. Priešingai, vartotojui iš karto rodomas pažymėtas skelbimų personalizavimas, tokiu būdu siekiant nulemti vartotojo pasirinkimą.
Siekį nulemti vartotojo pasirinkimą atspindi ir kitos „Google“ įvestos taisyklės. Pavyzdžiui, prieš kuriant paskyrą, vartotojas raginamas pažymėti abstrakčiai įvardintus langelius „Sutinku su „Google“ „paslaugų teikimo sąlygomis“ ir „Sutinku su mano informacijos apdorojimu, kaip aprašyta aukščiau ir išsamiau paaiškinta privatumo politikoje“ tam, kad būtų sukurta jo sąskaita. Konkrečių ir vartotojui lengvai matomų pasirinkimų, pavyzdžiui, sutikimo dėl skelbimų personalizavimo, kalbos atpažinimo ir pan. nėra. Kai GDPR būtent tai ir numato – vartotojo sutikimas turi būti skirtas ir duotas kiekvienam tikslui atskirai.
Taigi reguliatorius nurodė, kad dėl didelių duomenų srautų ir įvairių šių duomenų kombinacijų, neužtikrinant asmens duomenų tvarkymo veiklos, atsiranda tikimybė, jog gali būti pažeistas vartotojo privatus gyvenimas. Be to, skiriant baudą buvo atsižvelgta ir į faktą, kad tokius pažeidimus „Google“ atlieka ne pirmą kartą ir jog jie baudos skyrimo dienai nėra panaikinti.
G. Domkutės teigimu, tikėtina, jog baudų, kurių dydis greičiausiai bus mažesnis, banga artimiausiu metu atsiris ir iki Lietuvos – kaip iki bet kurios ES narės. Verslui rekomenduojama peržiūrėti turimas asmens duomenų tvarkymo politikas bei taisykles, informuoti vartotojus apie konkrečius duomenų rinkimo bei tvarkymo tikslus ir pagrindus bei gauti konkrečius vartotojų sutikimus. Iki šiol standartine tapusi frazė „Sutinku, kad mano duomenys būtų tvarkomi“ šiuo metu nebepritaikoma.
